Vous êtes sur la page 1sur 149

LES CAHIERS

2008-05 DE LA LE RETOUR
SÉCURITÉ INDUSTRIELLE D’EXPÉRIENCE
FACTEURS
SOCIO-CULTURELS
DU REX : SEPT ÉTUDES
DE TERRAIN

ÉQUIPES DU PROGRAMME
REX FONCSI
L a Fondation pour une Culture de Sécurité Industrielle (FonCSI) est une Fondation de Re-
cherche reconnue d’utilité publique par décret en date du 18 avril 2005. Elle a pour
ambitions de :
 contribuer à l’amélioration de la sécurité dans les entreprises industrielles de toutes tailles,
de tous secteurs d’activité ;
 rechercher, pour une meilleure compréhension mutuelle et en vue de l’élaboration d’un
compromis durable entre les entreprises à risques et la société civile, les conditions et la
pratique d’un débat ouvert prenant en compte les différentes dimensions du risque ;
 favoriser l’acculturation de l’ensemble des acteurs de la société aux problèmes des risques
et de la sécurité.
Pour atteindre ces objectifs, la FonCSI favorise le rapprochement entre les chercheurs de toutes
disciplines et les différents partenaires autour de la question de la sécurité industrielle : entre-
prises, collectivités, organisations syndicales, associations. Elle incite également à dépasser les
clivages disciplinaires habituels et à favoriser, pour l’ensemble des questions, les croisements
entre les sciences de l’ingénieur et les sciences humaines et sociales.

Les travaux présentés dans ce rapport sont issus de projets de recherche financés par la
FonCSI. Les propos tenus ici n’engagent cependant que leurs auteurs.

Fondation pour une Culture de Sécurité Industrielle


Fondation de recherche, reconnue d’utilité publique
http ://www.FonCSI.org/

6 allée Émile Monso – BP 34038 Téléphone: +33 534 32 32 00


31029 Toulouse cedex 4 Twitter: @LaFonCSI
France Courriel: contact@FonCSI.org
Synopsis

Title Sociocultural Success Factors for Operational Experience Feed-


back : Seven Field Studies
Keywords industrial safety, operational experience feedback, learning from
experience, lessons learned
Author Research teams from the FonCSI programme Operational Expe-
rience Feedback
Publication date September 2008

Over the years, high-risk industries have put in place various activities to learn from
experience (operational experience feedback, learning from accidents, organizational
learning) whose aim is to identify incidents, anomalies and events where operation deviates
from the norm, to analyse their causes, the circumstances that lead to the incident, the
consequences or potential consequences of the event, and the lessons that can be learned
from the situation.

A working party on this subject composed of representatives from French industry met a
dozen times in 2004 and 2005, allowing participants to present and compare best practices,
problems and gaps between practice and objectives. Discussions in the group highlighted
the diversity of different companies’ practices in management of experience feedback. While
the companies participating considered that the technical aspects of the problem (use of
database tools to aid incident reporting, analysis of the technical origin of incidents) were
well managed, some common themes were identified as causing problems, reflecting a need
for research in this field.

The FonCSI launched a Call for Proposals in 2005, with a budget of 1.3 M€. The aim of the
research programme is to produce knowledge and to identify best practices in the field of
operational experience feedback. Among the selected projects, the FonCSI funded seven PhD
theses, each of them involving a significant amount of fieldwork in different industrial sectors.

Industrial companies from different fields of activity opened some of their sites to the resear-
chers :
 energy and metallurgy : EDF, Arcelor-Mittal ;
 chemicals, petrochemicals and pharmacy : Total, Arkema, sanofi-aventis ;
 transport : SNCF, RATP, Airbus, airlines.
The current document introduces the research projects of the seven PhD students, presenting
the industrial context, the theoretical background that they will apply to the question of
lessons-learned analysis, their methodology and the expected contribution of their work to
the improvement of operational experience feedback.

v
The first two chapters focus on psycho-sociological factors determining human beha-
viours related to safety at work :
 Socio-cognitive biases and their potential for interference with operational experience
feedback among workers from two nuclear and a two chemical plants : Safiétou Mbaye,
within the team of Dongo Rémi Kouabenan (LIP, Grenoble University, France) and
Philippe Sarnin (Social Psychology Department, Lyon University, France) ;
 Safety assumptions and evolution of safety models in aviation (aircraft design and
manufacturing, airline operations, maintenance operations and air traffic management) :
Kyla Steele, from the team of Jean Pariès (Dédale, France), René Amalberti (Haute
Autorité de Santé, France) and Erik Hollnagel (CRC, Mines-ParisTech, France).

The third and fourth chapters raise the issue of weak signals and their management in
operational experience feedback systems :
 Detection and management of weak signals in both a petrochemical and a metallurgical
plant : Ève Guillaume, in the group of Floor Koornneef and Andrew Hale (Safety
Science Group, Delft Technological University, The Netherlands), in collaboration with
Jean-Christophe Le Coze and Nicolas Dechy (INERIS, France) and Yves Dien (EDF
R&D, France) ;
 Integration of weak signals in the health and safety management system of a pharma-
ceutical company : Ambre Brizon, within the team of Jean-Luc Wybo (CRC, Mines-
ParisTech, France) and Marc Poumadère (Institut Symlog, Paris, France).
In the fifth chapter, Céline Tea, working with Bertrand Munier (GRID, ENSAM/ESTP,
France), highlights the decision-support dimension of operational experience feedback in
risk management. One of her objectives is to design a decision support system for managers
in rail transportation.

The sixth and seventh chapters look into the effects of increasing complexity of industrial
systems due to network organisation on operational experience feedback and knowledge
management in safety :
 Identification and implementation of good practices for operational experience feedback
in the rail industry : Stéphanie Tillement, from the team of Thomas Réverdy and
Céline Cholez (PACTE, Grenoble University, France) ;
 Inter-organizational learning in aircraft co-design projects : Colin Lalouette, within
the group of Bernard Pavard (GRIC-IRIT, Toulouse, France) and Jean-Marie Jacques
(Namur University, Belgium).
The present document was written at the half-way point of FonCSI’s research programme
on operational experience feedback. Another document presenting the projects’ results and
operational solutions to improve experience feedback and therefore safety management will
be published in 2009.

vi
Avant-propos

Depuis de nombreuses années, les industries exerçant des activités à risques ont mis en
place des dispositions de retour d’expérience (REX) ayant pour vocation de se saisir de tout
événement considéré comme un écart, une anomalie, pour en déterminer les causes, les
circonstances et enchaînements qui y ont conduit, les conséquences qui en ont résulté, et pour
en tirer les enseignements permettant d’en prévenir la répétition.
Pour ce qui concerne la FonCSI et l’Institut pour une Culture de Sécurité Industrielle (ICSI), le
REX constitue un élément cardinal :
 par ses multiples dimensions et l’ensemble des questions qu’il soulève, il interroge, ou
devrait interroger, les différentes dimensions de la « culture de sécurité » ;
 il constitue un élément de partage et d’échange pour les différents partenaires de la
sécurité industrielle.
Un Groupe d’échange sur le thème du REX a été lancé par l’ICSI en 2004 afin de permettre
l’enrichissement mutuel entre entreprises de secteurs d’activités diversifiées, par le partage des
informations concernant les dispositions adoptées et les pratiques en vigueur dans chacune
des sociétés représentées. Le groupe d’échange s’est réuni à une dizaine de reprises au cours
des années 2004 et 2005, et a permis aux représentants industriels de présenter et comparer
leurs pratiques, leurs préoccupations et leurs insatisfactions. Des chercheurs de différentes dis-
ciplines scientifiques ont également participé aux réunions. Les travaux du groupe d’échange
ont mis en évidence une grande richesse des pratiques de retour d’expérience. Bien que les
entreprises participantes estiment maîtriser les aspects techniques du REX (recueil, remontée
et analyse des incidents), les réflexions menées au sein de ce groupe ont fait apparaître des
thèmes où les connaissances faisaient défaut :
 les facteurs socioculturels de réussite du retour d’expérience,
 le lien entre retour d’expérience et responsabilité (lien entre erreur et faute et mise en
cause potentielle des acteurs de l’entreprise au sein de celle-ci ou de celle-ci vis-à-vis des
pouvoirs publics),
 l’apport potentiel du retour d’expérience en matière d’information, de communication et
de concertation tant dans les relations internes à l’entreprise que dans les relations de
celle-ci avec l’extérieur.
Elles renvoient à des sujets concernant :
 le type de REX pratiqué : préventif (attention portée aux signaux faibles), correctif, positif
(diffusion de bonnes pratiques) ;
 les domaines couverts par le REX (réglementaire, accidents du travail, risques majeurs,
par métiers, par filières techniques…) ;
 les acteurs et modalités de gestion du REX (typologie des évènements gérés, acteurs
concernés, base de données, indicateurs…) ;
 les fondements du REX et éléments de cohérence et de pérennité (politique, valeurs
et objectifs de l’entreprise et de l’établissement en matière de sécurité, organisation et
structures, processus techniques, procédures…) ;
 l’évaluation du retour d’expérience (critères pour cerner les notions de réussite ou d’échec,
actions en retour…).
Dans le cadre de son Appel à Propositions de Recherche 2005, la FonCSI a eu pour objectif
de contribuer à améliorer les connaissances dans ce domaine, en conviant les chercheurs à
analyser ces différentes pratiques et expérimentations, à les mettre en relation et à réaliser un
travail de synthèse susceptible de contribuer à une meilleure approche du retour d’expérience
(voire de procédures alternatives). Il s’agit d’une part de chercher à améliorer la sécurité au
sein des entreprises en ayant une meilleure connaissance des pratiques de retour d’expérience.

vii
Il s’agit d’autre part, de façon liée, de s’interroger sur les modalités de partage du retour d’ex-
périence en lien avec les différentes attentes s’exprimant aujourd’hui à l’égard des entreprises
à risques.
Parmi les projets sélectionnés, la majorité s’inscrit dans le cadre d’une convention industrielle
de formation par la recherche (thèse CIFRE). La FonCSI finance ainsi depuis 2005 les thèses de
sept doctorants, dont la première partie du travail est exposée dans le document présent. Té-
moignant de leur intérêt pour des thématiques correspondant à leurs attentes, des partenaires
industriels ont accepté d’ouvrir un certain nombre de sites au travail des chercheurs. Ces sites
concernent différents types d’activités :
 énergie et industrie de base : ÉDF, Arcelor-Mittal ;
 chimie, pétrochimie, pharmacie : Total, Arkema, sanofi-aventis ;
 transports : SNCF, RATP, Airbus, compagnies aériennes.

Un enjeu important de ce programme de recherche est de comparer les pratiques de ces


différents secteurs industriels, afin de comprendre d’éventuelles différences culturelles, et
d’identifier des pratiques transférables qui pourraient améliorer la sécurité.

Nous remercions les doctorants du programme REX, principaux auteurs de ce document, ainsi
que les membres des équipes de recherche qui ont encadré leurs travaux. L’équipe FonCSI,
Caroline Kamaté, Gilles Motet et moi-même, a également accompagné la rédaction et l’édition
de ce cahier.

Éric Marsden, FonCSI


septembre 2008

Votre avis nous intéresse ! Pour tout commentaire ou remarque permettant d’améliorer ce
document, merci d’envoyer un courriel à cahiers@FonCSI.org.

viii
Table des matières

Avant-propos vii

Introduction 1
Liste des abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1 Retour d’EXpérience et explications naïves : étude dans les secteurs de la


chimie et du nucléaire 5
1.1 Les difficultés rencontrées dans la mise en œuvre du REX . . . . . . . . . . . . 6
1.1.1 Les coûts du REX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.1.2 Le manque d’opérationnalité et d’intégration des opérateurs au processus 8
1.1.3 Le poids des réactions défensives sur les processus de REX . . . . . . . 9
1.2 Améliorer les processus de REX . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2.1 Comprendre l’origine des biais dans les analyses d’accidents . . . . . . 10
1.2.2 Connaître les déterminants de l’attitude des acteurs vis-à-vis du REX . 11
1.2.3 Construire une véritable culture du REX . . . . . . . . . . . . . . . . . 12
1.3 REX, explications naïves et perceptions des risques . . . . . . . . . . . . . . . 13
1.3.1 Les explications naïves des causes des accidents dans les pratiques de
REX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.3.2 La perception des risques et l’attitude des acteurs vis-à-vis du REX . . 15
1.4 Conclusion et perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2 La sécurité dans les transports aériens européens : idées reçues et nouvelles


approches 19
2.1 Comprendre la sécurité dans l’aviation . . . . . . . . . . . . . . . . . . . . . . 20
2.1.1 La sécurité : savoirs et hypothèses . . . . . . . . . . . . . . . . . . . . 21
2.1.2 Est-il possible de mesurer et de contrôler la sécurité ? . . . . . . . . . . 21
2.1.3 Hypothèses de sécurité : remettre le status quo en question . . . . . . 22
2.1.4 Le chemin vers le changement est difficile . . . . . . . . . . . . . . . . 22
2.1.5 Le « bon sens » remis en cause par l’empirisme . . . . . . . . . . . . . 24
2.2 Cartographie des croyances sur la sécurité dans le domaine de l’aviation . . . 26
2.2.1 Méthodologie et apports attendus de l’étude . . . . . . . . . . . . . . . 27
2.2.2 Limites inhérentes à l’étude . . . . . . . . . . . . . . . . . . . . . . . . 28
2.3 Approches précédentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.3.1 Le changement en réponse au changement . . . . . . . . . . . . . . . . 29
2.3.2 Les concepts de sécurité du passé, du présent et du futur . . . . . . . . 30
2.3.3 Caractérisation du paradigme existant . . . . . . . . . . . . . . . . . . 33
2.3.4 Adopter une méta-perspective : retourner le miroir sur soi . . . . . . . 33
2.3.5 Travaux précédents sur les hypothèses de sécurité et le changement
de paradigme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.3.6 Synthèse de ces concepts-clés . . . . . . . . . . . . . . . . . . . . . . . 37
2.3.7 Du pain sur la planche . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
2.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

ix
3 Prise en compte des signaux faibles dans le management de la sécurité : diag-
nostic sur une raffinerie et un site métallurgique 41
3.1 Le REX des signaux faibles, le contexte . . . . . . . . . . . . . . . . . . . . . . 42
3.2 La prise en compte des signaux faibles par le SMS . . . . . . . . . . . . . . . . 43
3.2.1 Méthode de travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.2.2 Résultats attendus et premières hypothèses . . . . . . . . . . . . . . . 46
3.3 Les approches existantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.3.1 Les signaux faibles et les autres disciplines : une notion émergente ? . 48
3.3.2 Les principales contributions dans le domaine des risques, des acci-
dents et de la sécurité industrielle . . . . . . . . . . . . . . . . . . . . . 49
3.3.3 Positionnement scientifique de notre étude . . . . . . . . . . . . . . . 51
3.4 Conclusion : premiers résultats et perspectives . . . . . . . . . . . . . . . . . . 51
3.4.1 Diagnostic préliminaire . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.4.2 Limites et nouvelles perspectives . . . . . . . . . . . . . . . . . . . . . 54

4 Insertion des signaux faibles dans le système de management HSE d’une en-
treprise pharmaceutique 55
4.1 Importance de la gestion des signaux faibles . . . . . . . . . . . . . . . . . . . 56
4.1.1 Définition des signaux faibles, origines et faux débats . . . . . . . . . . 56
4.1.2 La gestion des signaux faibles aujourd’hui . . . . . . . . . . . . . . . . 57
4.1.3 La gestion de l’HSE en France et chez sanofi-aventis . . . . . . . . . . 59
4.2 La politique de transparence nécessaire à la mise en place du REX . . . . . . . 62
4.2.1 À l’origine de la prévention . . . . . . . . . . . . . . . . . . . . . . . . 62
4.2.2 La politique de transparence . . . . . . . . . . . . . . . . . . . . . . . . 63
4.2.3 Approche méthodologique . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3 Méthodes et théories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.1 Pour comprendre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.2 Pour agir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.4 Conclusion : critiques et positionnement . . . . . . . . . . . . . . . . . . . . . 67

5 Retour d’expérience et système d’information pour la gestion des risques : pro-


position et expérimentation de nouvelles pratiques dans le monde ferroviaire 69
5.1 Le REX à la SNCF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.1.1 Quelles pratiques de REX à la SNCF ? . . . . . . . . . . . . . . . . . . . 70
5.1.2 Le REX dans sa dimension d’aide à la décision . . . . . . . . . . . . . . 71
5.2 Complémenter les pratiques actuelles dans le cadre d’une aide à la décision ? . 75
5.2.1 Pourquoi construire une aide à la décision ? . . . . . . . . . . . . . . . 76
5.2.2 Comment construire cette aide à la décision ? . . . . . . . . . . . . . . 76
5.3 Cadre conceptuel et démarche de recherche . . . . . . . . . . . . . . . . . . . . 77
5.3.1 Le REX, système d’information dans sa dimension d’aide au pilotage :
clés de compréhension . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.3.2 Détails sur la démarche : présentation de l’aide à la décision . . . . . . 85
5.4 Premiers résultats et perspectives . . . . . . . . . . . . . . . . . . . . . . . . . 85
5.4.1 Précisions sur le cas d’étude . . . . . . . . . . . . . . . . . . . . . . . . 85
5.4.2 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

x
6 Dynamiques d’apprentissage dans des systèmes industriels en réseau : étude
dans l’industrie ferroviaire 89
6.1 Du retour d’expérience aux vulnérabilités des organisations par projet . . . . . 90
6.1.1 Au centre de notre recherche : les grands projets de modifications . . . 91
6.1.2 Premiers constats sur le REX à la RATP : points forts et limites . . . . 92
6.1.3 Démarche d’investigation . . . . . . . . . . . . . . . . . . . . . . . . . 94
6.2 Améliorer la gestion des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 100
6.2.1 Premier objectif : développer des éléments de méthode pour élargir le
REX sur les incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
6.2.2 Deuxième objectif : au-delà du REX, proposer un diagnostic organisa-
tionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
6.2.3 Troisième objectif : mettre à jour les mécanismes informels de maîtrise
des risques dans les projets . . . . . . . . . . . . . . . . . . . . . . . . 103
6.3 Du lien entre organisations par projet et maîtrise des risques . . . . . . . . . . 103
6.3.1 La théorie organisationnelle de la sécurité . . . . . . . . . . . . . . . . 103
6.3.2 Caractéristiques des organisations par projet décrites dans la littérature 105
6.3.3 La prise en compte des risques dans les organisations par projet . . . . 107
6.4 Conclusion : premiers résultats et perspectives . . . . . . . . . . . . . . . . . . 108

7 Sécurité industrielle et sous-traitance dans l’aéronautique : comment renfor-


cer le REX ? 109
7.1 La sous-traitance dans l’aéronautique . . . . . . . . . . . . . . . . . . . . . . . 110
7.1.1 L’entreprise étendue . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
7.1.2 La gestion des connaissances et le REX dans l’entreprise étendue . . . 112
7.1.3 Le REX sur notre terrain industriel . . . . . . . . . . . . . . . . . . . . 113
7.2 Comment améliorer la fiabilité organisationnelle dans l’entreprise étendue ? . 115
7.2.1 La maîtrise des risques dans l’entreprise étendue . . . . . . . . . . . . 115
7.2.2 Améliorer le REX inter-organisationnel . . . . . . . . . . . . . . . . . 116
7.3 État de l’art sur les approches déjà existantes . . . . . . . . . . . . . . . . . . . 118
7.3.1 Les approches classiques en gestion des connaissances . . . . . . . . . 119
7.3.2 Les HRO ou Organisations à Haute Fiabilité . . . . . . . . . . . . . . . 120
7.3.3 Le couplage faible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
7.3.4 L’apprentissage organisationnel . . . . . . . . . . . . . . . . . . . . . . 122
7.3.5 Précision de la problématique et articulation de la thèse . . . . . . . . 123
7.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Bibliographie 127

xi
Introduction

Le programme de recherche lancé par la FonCSI lors de son Appel à Propositions de Re-
cherche de 2005 permet d’engager des réflexions sur les facteurs socio-culturels de réussite
et d’échec du REX. La nature multidisciplinaire a pour objectif d’éclairer différemment le
problème — sciences de la gestion, sciences humaines et sociales, ingénierie — et contribuer
à l’enrichissement des connaissances en matière de sécurité industrielle et de maîtrise des
risques technologiques. Cependant, la Fondation a également le souci d’ancrer les travaux de
recherche qu’elle finance dans le monde industriel. En partenariat avec des industries aussi di-
verses que les transports, le nucléaire, la pétrochimie, la pharmacie et la sidérurgie, ces projets
visent à produire des connaissances sur le REX. L’enjeu de ce programme de recherche est de
taille car il s’agit, à partir de ces connaissances, de contribuer à l’amélioration du Système de
Management de la Sécurité (SMS) des organisations.
Les doctorants du programme REX ne soutiendront leurs thèses qu’à partir de décembre
2008. Ce document, rédigé à mi-parcours, a pour vocation de présenter, pour chaque projet :
la problématique sur le terrain, les objectifs et résultats attendus de leur recherche, le po-
sitionnement scientifique et les perspectives au regard des travaux préexistants. Quelques
résultats préliminaires sont également exposés. Un second document, qui sera publié en 2009,
présentera des propositions d’amélioration du REX.

Les deux premiers chapitres de ce document traitent des aspects socio-psychologiques déter-
minant les comportements humains liés à la sécurité sur le lieu de travail. Ils sont axés sur
l’influence des facteurs sociaux et culturels, des croyances individuelles ou des idées reçues,
d’une part sur l’explication que les personnes donnent aux incidents et accidents, et, d’autre
part, sur la perception qu’elles ont d’un système sûr.
Safiétou Mbaye, au sein de l’équipe de Dongo Rémi Kouabenan (Laboratoire Inter-
universitaire de Psychologie, Université de Grenoble) et de Philippe Sarnin (Département
de Psychologie Sociale, Université de Lyon), réalise une étude d’envergure sur les person-
nels de deux usines chimiques et deux sites nucléaires. Elle se penche sur le fonctionnement
socio-cognitif de tous les acteurs concernés (opérateurs, dirigeants, experts, sous-traitants
ou représentants des entreprises intervenantes, etc.), en se fondant sur les perceptions et les
explications qu’ils fournissent spontanément pour les incidents et les dysfonctionnements se
produisant sur leur lieu de travail. Sa démarche qui consiste à mettre en évidence les biais
défensifs qui apparaissent lors de l’analyse d’événements négatifs, a pour objectif de déve-
lopper l’esprit critique et l’implication des différents acteurs dans les pratiques de REX et les
programmes de sécurité.
Kyla Steele, dans l’équipe de Jean Pariès (Dédale), de René Amalberti (Haute Autorité
de Santé) et de Erik Hollnagel (Centre de recherche sur les Risques et les Crises, Mines-
ParisTech), effectue une étude transversale de l’influence des facteurs humains sur le REX
et, plus largement, sur le management de la sécurité, dans quatre domaines de l’industrie
aéronautique : la conception et la fabrication d’appareils, les opérations aériennes, la main-
tenance et la gestion du trafic aérien. Elle s’interroge sur l’idée de la sécurité que se font les
personnes travaillant au cœur de ce système socio-technique déjà extrêmement sûr, mais où
le besoin de progrès est perçu comme fort, et l’apport du REX actuel considéré comme per-
fectible. Son étude vise à décrypter les convictions, les idées reçues qui influencent l’attitude
du personnel vis-à-vis de la sécurité, des débuts de l’aviation commerciale à nos jours. Le but
est ainsi d’enrichir la compréhension de la notion de « modèle de sécurité », de fournir des
outils aux opérationnels et notamment un guide rendant explicites certains de ces principes
par des illustrations concrètes, cassant les idées reçues ayant cours dans l’aviation en démon-
trant comment celles-ci peuvent induire des comportements inappropriés et s’avérer ainsi
dangereuses.

Les troisième et quatrième chapitres de ce document se focalisent sur la problématique com-


plexe des signaux faibles sur des terrains industriels très différents, respectivement des sites à
risque d’accident majeur (pétrochimie, métallurgie), et une industrie pharmaceutique.

1
Facteurs socioculturels du REX

Ève Guillaume, au sein d’une équipe composée de Floor Koorneef et Andrew Hale (Safety
Science Group, Université Technologique de Delft, Pays-Bas), de Jean-Christophe Le Coze
et Nicolas Dechy (INERIS1 ) et d’Yves Dien (EDF R&D), réalise une étude exploratoire sur
deux terrains, une raffinerie et un site métallurgique. C’est par une immersion dans le fonc-
tionnement du système de management de la sécurité, par l’analyse des outils dont il dispose
et par l’étude de cas concrets (scénarios d’incidents ou d’accidents, étude du fonctionnement
normal, mais aussi scénarios de succès), qu’elle s’attache à établir un bilan de la prise en
compte et du traitement des signaux faibles par le REX. À l’issue de ce diagnostic, l’objectif est
de proposer des actions concrètes d’amélioration, l’analyse comparative des résultats obtenus
sur les deux sites étudiés représentant un atout pour élargir le champ des enseignements et
pour envisager un travail d’échange enrichissant pour les deux sites en termes de progrès
dans le management de la sécurité.
Ambre Brizon, de l’équipe de Jean-Luc Wybo (Centre de recherche sur les Risques et les
Crises, Mines-ParisTech) et de Marc Poumadère (Institut Symlog), s’intéresse quant à elle
au management de l’hygiène et de la sécurité au sein d’une entreprise pharmaceutique. Dans
un contexte où la fiabilité technique atteint des niveaux de complexité et de maîtrise élevés,
elle conduit une recherche globale du suivi des signaux faibles. Ces signaux sont considérés
comme potentiellement annonciateurs d’un accident ou d’une maladie professionnelle. Les
acteurs qu’elle étudie sont des opérateurs de fabrication, leurs manageurs de proximité et les
manageurs du central. Pour son travail, elle cherche à étudier la perception par les opérateurs
de leur environnement, les anomalies qu’ils peuvent détecter. Elle étudie ensuite les modalités
d’apprentissage et le contexte dans lequel ces acteurs de terrain s’inscrivent. Il s’agit du
contexte de terrain, mais aussi de celui fixé via les stratégies et réglementations du central.
Finalement, elle étudie les activités au sein desquelles ces signaux faibles doivent trouver leur
place.
Le chapitre suivant introduit le travail de thèse de Céline Tea, du groupe de Bertrand Munier
(Groupe de Recherche sur le Risque, l’Information et la Décision, ENSAM2 /ESTP3 ) qui traite du
processus décisionnel pour la gestion des risques dans le monde ferroviaire. Dans le cadre de
cette étude, le REX est considéré dans sa dimension décisionnelle, non pas comme produisant
de la décision directement, mais en tant que dispositif nourrissant le système d’information
pour la gestion des risques. La recherche est ainsi axée sur les pratiques de REX dans le secteur
ferroviaire : la façon dont les informations sont collectées et exploitées pour évaluer les risques,
ainsi que les conséquences de ces pratiques quant aux décisions prises. À l’issue de cette phase
d’observation et d’analyse, l’objectif principal de cette étude est de fournir et d’expérimenter
un outil d’aide à la décision destiné aux managers.

Dans les deux derniers chapitres, l’accent est porté sur les systèmes industriels en réseau
et les conséquences de ces configurations particulières sur la gestion des connaissances et
l’apprentissage par le REX.
Stéphanie Tillement, de l’équipe de Thomas Réverdy et Céline Cholez (Laboratoire
PACTE4 , Université de Grenoble), étudie les pratiques de REX dans les organisations par
projet, mode de fonctionnement relativement récent dans le domaine des transports ferro-
viaires. Elle se focalise sur la complexité organisationnelle inhérente à ce nouveau contexte,
notamment la division du travail entre prescription et exécution, le cloisonnement entre com-
pétences techniques voire entre départements aux fonctions et activités diverses, la structure
hiérarchique à plusieurs niveaux, ainsi que le recours à l’externalisation et la sous-traitance de
certaines tâches, et en étudie les retombées au niveau des dynamiques d’apprentissage et de
la gestion des risques. L’objectif de ce travail est de dépasser les limites du REX en proposant
une approche globale du REX, d’établir un diagnostic organisationnel permettant d’identifier
puis de capitaliser les bonnes pratiques — notamment informelles — qui se mettent en place
dans les processus d’apprentissage en matière de risques dans ces organisations par projet.
Colin Lalouette, au sein du groupe de Bernard Pavard (GRIC-IRIT5 ) et de Jean-Marie
Jacques (Université de Namur) porte son étude sur le système socio-technique complexe que

1 Institut National de l’Environnement Industriel et des Risques.


2
École Nationale Supérieure d’Arts et Métiers.
3
École Spéciale des Travaux Publics du bâtiment et de l’industrie.
4 Politiques publiques, Action politique, Territoires.
5
Groupe de Recherche en Ingénierie Cognitive – Institut de Recherche en Informatique de Toulouse.

2
Introduction

représente l’entreprise étendue à ses nombreux sous-traitants dans l’aéronautique. On assiste


ces dernières années à une intensification de la sous-traitance ; malgré cette conformation
multi-organisationnelle, l’aéronautique reste parmi les secteurs les plus performants en termes
de fiabilité. Colin Lalouette interroge donc les modalités de la gestion des connaissances
vis-à-vis de la maîtrise des risques, avec une attention particulière portée sur le REX et sa mise
en œuvre opérationnelle dans les projets en co-conception. L’originalité de ce travail de thèse
inclut une tentative d’enrichir le REX traditionnel basé sur une explicitation d’événements
clefs, par la prise en compte de données contextuelles souvent implicites (ce qui rend leur
réutilisation difficile). Il vise notamment à identifier les ressorts, et en particulier les ressorts
informels, du partage d’informations et de connaissances qui font que l’entreprise étendue
adapte sa gestion des risques à cette nouvelle configuration pour atteindre le degré de fiabilité
qu’on lui connaît.

3
Facteurs socioculturels du REX

Liste des abréviations


AdC Arbre des Causes
AMDEC Analyse des Modes de Défaillance, de leurs Effets et de leurs Criticités
ATEX ATmosphère EXplosive
CHSCT Comité d’Hygiène, de Sécurité et des Conditions de Travail
CNAMTS Caisse Nationale d’Assurance Maladie des Travailleurs Salariés
DRIRE Direction Régionale de l’Industrie, de la Recherche et de l’Environnement
EdPI Équipe de Projet Industriel
ERPT Évaluation des Risques au Poste de Travail
FHO Facteurs Humains et Organisationnels
HRO High Reliability Organization; Organisation à Haute Fiabilité
HSE Hygiène Sécurité Environnement
INRS Institut National de Recherche et de Sécurité
ISRS International Safety Rating System: Système international d’évaluation de la sécurité
MOEP Maîtrise d’Œuvre Particulière
REX Retour d’EXpérience
SdF Sûreté de Fonctionnement
SGS Système de Gestion de la Sécurité
SMS Système de Management de la Sécurité

4
1
Retour d’EXpérience et explications naïves :
étude dans les secteurs de la chimie et du
nucléaire

Doctorante Safiétou Mbaye


Directeurs de thèse Dongo Rémi Kouabenan (Université de Grenoble)
Philippe Sarnin (Université de Lyon)
Terrain industriel Deux sites nucléaires et deux usines chimiques

Le Retour d’EXpérience (REX) peut se définir comme un outil de capitalisation et de partage


des connaissances acquises lors de l’analyse d’événements passés jugés pertinents pour la
sécurité. D’une manière générale, les définitions du REX sont partagées dans les différentes
industries (nucléaire, aviation civile, chimie, etc.) même si les approches (facteurs techniques
ou humains) et les moyens qui lui sont alloués sont très diversifiés [Bourdeaux et Gilbert 1999].
Il s’avère également que les difficultés rencontrées dans l’application des démarches de REX
sont nombreuses. En effet, la mise en œuvre du REX se confronte à des conflits et des tensions,
des difficultés de stabilisation des dispositifs et de partage d’expérience entre les acteurs de
l’organisation [FonCSI 2005]. Dans le but d’améliorer ces pratiques, nous étudions les facteurs
psychologiques et sociaux susceptibles de favoriser une plus grande implication des acteurs
de l’organisation dans le REX. Nous pensons que l’attitude des acteurs vis-à-vis du REX est
influencée par la perception qu’ils ont de son utilité en matière de maîtrise des risques, mais
aussi par les enjeux sous-jacents de l’analyse des causes des dysfonctionnements passés.

C’est pourquoi dans les études que nous menons, nous cherchons à comprendre les pro-
cessus sociocognitifs (représentations, besoins, perceptions et croyances individuels) et
culturels (normes, valeurs, mythes) qui sont à l’œuvre dans la perception des risques et
les explications des causes des accidents fournies par les acteurs du REX. Une meilleure
connaissance de ces facteurs devrait permettre d’améliorer les pratiques de REX au sein
de l’entreprise.

Le présent chapitre est structuré en quatre parties : la première partie s’emploie à exposer les
difficultés du REX à travers la littérature. Nous illustrons également l’existence du problème en
nous fondant sur nos expériences de terrain (observations, entretiens et analyse des documents
écrits) afin de situer les difficultés du REX dans leur contexte. La deuxième partie montre la
nécessité de résoudre les difficultés rencontrées dans la mise en œuvre du REX. Nous justifions
l’intérêt de notre approche et précisons en quoi la résolution du problème peut permettre
d’améliorer la sécurité. Dans la troisième partie, nous présentons le cadre théorique de notre
recherche. Nous décrivons les déterminants individuels, groupaux, culturels et organisation-
nels de la perception des risques et des explications des causes des accidents. Cette partie
montre en quoi la perception des risques et les explications des causes des accidents sont sus-
ceptibles d’influencer l’attitude des acteurs vis-à-vis du REX. Pour conclure, nous proposons

5
Facteurs socioculturels du REX

une synthèse de l’approche présentée dans la troisième partie. Nous mettons en valeur notre
démarche pour comprendre les difficultés du REX, mais également les voies d’amélioration
des pratiques de REX offertes par les modèles de la perception des risques et le modèle
des explications naïves. Nous rappelons également les idées essentielles traitées et nous
mettons l’accent sur les apports et les limites de nos travaux actuels et à venir.

1.1 Les difficultés rencontrées dans la mise en œuvre du REX


À partir d’une revue de la littérature et des premiers résultats des études que nous menons,
nous présentons dans cette partie un état des difficultés rencontrées dans la mise en œuvre du
REX. Nous proposons d’illustrer les difficultés du REX identifiées dans la littérature à travers
des exemples provenant de nos expériences de terrain. Les résultats présentés sont issus des
études que nous menons depuis le mois de juillet 2006 sur quatre sites industriels, à savoir
deux centrales nucléaires et deux usines chimiques. La méthodologie employée pour recueillir
les données présentées dans cette partie repose sur :
 l’observation de 28 comités REX (4 réunions de direction sécurité, 3 réunions d’un
groupe de prévention des risques, 2 réunions « Arbre des Causes (AdC) », 4 réunions de
chantier, 6 réunions d’équipe, 2 réunions d’un « Club utilisateurs d’Impact Entreprise »1 ,
2 réunions Hygiène Sécurité Environnement (HSE) et 5 réunions de service) ;
 la conduite de 77 entretiens semi-directifs de type exploratoire auprès d’acteurs de
tous niveaux hiérarchiques (20 : encadrement supérieur ; 25 : encadrement intermédiaire ;
32 : exécution) et domaines d’activité (fabrication, maintenance, qualité, administration,
prévention et CHSCT2 ) sur leur perception des pratiques de REX dans leur entreprise ;
 l’analyse des documents écrits des entreprises qui portent sur le système de manage-
ment de la sécurité, les procédures de gestion des dysfonctionnements et les méthodes
d’analyse des accidents.
La revue de la littérature ainsi que les résultats des observations et des entretiens menés,
montrent que les principales difficultés du REX sont dues aux coûts de sa mise en œuvre (temps,
ressources humaines, effort cognitif), à la faible participation des opérateurs au processus et
aux réactions défensives qui s’expriment lors des analyses d’accidents. Afin de bien poser le
problème, nous structurons cette partie en trois sous-parties : nous posons d’abord la question
des coûts du REX ; nous montrons ensuite pourquoi l’intégration des opérateurs au REX fait
défaut et en quoi cela nuit à son efficacité ; puis nous exposons le poids des réactions défensives
sur les processus REX.

1.1.1 Les coûts du REX


Les processus de REX, tels qu’ils sont prescrits dans les systèmes de management de la sécuri-
té des industries à hauts risques, suivent une logique de traçabilité des dysfonctionnements
qui renvoie à un traitement centralisé de l’information. Les canaux de détection, d’analyse
et de diffusion des actions correctives sont conçus pour assurer l’information des instances
dirigeantes des organisations et permettre leur activité de contrôle. Ces orientations favorisent
une structuration hiérarchique des processus qui visent à fournir des indicateurs utiles pour le
pilotage de la sécurité. L’approche centralisée constitue donc, pour les dirigeants des organisa-
tions, un levier d’information, de contrôle et d’action sur les salariés opérationnels [Amalberti
et Barriquault 1999]. Cela entraîne des logiques de gestion verticale qui se focalisent d’abord
sur la remontée de l’information avant de chercher à la diffuser auprès des opérateurs. Ce
mode de gestion produit un élargissement des boucles du REX parce qu’il impose des paliers
successifs de traitement des informations. Depuis la base jusqu’au sommet de la pyramide de
l’organisation, les données issues des expériences des acteurs sont revues, corrigées, complé-
tées, synthétisées puis validées par les différents niveaux hiérarchiques (récepteurs mandatés)
avant d’être transmises aux directions. Dans le cadre de nos études, nous avons réalisé un
état des pratiques de REX sur nos terrains de recherche. Ce travail nous permet de décrire les
processus en onze étapes :

1
Logiciel d’enregistrement et de traitement des dysfonctionnements survenus dans les domaines de la production,
de la qualité, de l’hygiène, de la sécurité, de la fiabilité et de l’environnement.
2
CHSCT : Comité d’Hygiène, de Sécurité et des Conditions de Travail.

6
1.1. Les difficultés rencontrées dans la mise en œuvre du REX

 Étape 1 : la détection des événements ;


 Étape 2 : le recueil des faits liés aux événements ;
 Étape 3 : la sélection des événements à analyser ;
 Étape 4 : la recherche des acteurs de l’analyse ;
 Étape 5 : l’analyse des événements ;
 Étape 6 : la définition des enseignements ;
 Étape 7 : la rédaction des comptes-rendus d’événements ;
 Étape 8 : la diffusion des comptes-rendus d’événements ;
 Étape 9 : l’application des actions correctives ;
 Étape 10 : le suivi de la réalisation des actions correctives ;
 Étape 11 : la vérification de l’efficacité des actions correctives.

Ces étapes sont coûteuses pour les organisations et les acteurs qui en ont la charge en raison
des dépenses en temps, en compétence et en effectif qu’elles nécessitent [Gilbert 1999]. La
mobilisation de ressources qu’elles entraînent pose la question de la capacité des organisations
à les assumer, mais aussi celle de la réactivité du système face aux besoins concrets des
opérateurs.

Exemple au niveau du site chimique

Le groupe industriel chimique applique la démarche du référentiel ISRS3 qui vise la détection de
toutes les défaillances du système le plus en amont possible. Les pertes (blessures, maladies, dom-
mages matériels, pertes de procédés, pertes de qualité et les atteintes à l’environnement) détectées
doivent être systématiquement enregistrées et analysées afin de permettre aux responsables de
décider des actions correctives nécessaires. Par exemple, sur un site de l’entreprise, le nombre
d’événements analysés est passé de 192 à 443 entre 2004 et 2006 alors que le nombre d’agents
mandatés pour accomplir ce travail n’a pas augmenté au cours de la même période.

Nous observons, sur tous nos terrains de recherche, que ce travail est assumé par les correspon-
dants sécurité des métiers 4 . Ces derniers sont les garants du bon déroulement des processus
REX dans leurs services en raison d’une politique de gestion de la sécurité qui vise à impliquer
les métiers dans le traitement des accidents et des incidents.
Les résultats des entretiens menés dans le but de comprendre comment ces acteurs perçoivent
les activités liées au REX, montrent que le traitement des dysfonctionnements est perçu comme
une charge de travail supplémentaire difficile à intégrer au quotidien. Les correspondants REX=potentielle
métiers expriment en effet leurs difficultés à bien traiter tous les événements par manque charge de travail
de temps. Ils soulignent également leur impression de « surnager » au milieu des procédures supplémentaire
souvent complexes.
Le nombre d’événements à traiter, la longueur des processus et le manque d’effectifs, sont
des sources de démotivation pour ces acteurs. Il apparaît par ailleurs que la charge du REX
est d’autant plus importante, que ses prescriptions visent de plus en plus la détection et
l’analyse des incidents mineurs et des presqu’accidents, en plus du traitement des accidents.
L’élargissement des boucles de traitement des événements que nous décrivons précédemment,
s’accompagne ainsi d’une augmentation du nombre et du type d’événements susceptibles de
faire l’objet d’un REX.

Témoignage d’un employé du site nucléaire

« L’information est intéressante, mais elle n’est pas suffisamment bien traitée. En fait, certaines
informations sont intéressantes, mais il faudrait arriver à faire la part des choses parce qu’autrement
le REX devient une usine à gaz. Il faudrait mieux cibler le REX sur des choses importantes parce
que trop de REX tue le REX ».

3
International Safety Rating System : Système international d’évaluation de la sécurité.
4
Les agents chargés d’assurer la correspondance entre leur service et le service de prévention des risques. Ils sont
également garants des processus dans leur service (responsable d’analyse et/ou rédacteurs des comptes rendus
d’accidents). Sur le site nucléaire, ils sont soit ingénieurs appui management, soit chefs de service délégués, soit
cadres administratifs. Sur le site chimique, ils sont soit ingénieurs, soit agents de maîtrise, soit cadres administratifs.

7
Facteurs socioculturels du REX

Nous remarquons également que l’application des directives est complexe pour les acteurs en
raison de leur difficulté à intégrer les prescriptions du REX à leurs logiques d’actions. En effet,
bien que les formalisations5 du REX visent à simplifier le traitement des accidents, elles sont
perçues comme étant difficilement intelligibles. À ce niveau, l’introduction des logiciels de
gestion des accidents qui imposent des grilles d’enregistrement communes à tous les services
joue un rôle important. Les applications des logiciels proposent des trames d’enregistrement et
de codage des accidents qui obligent les auteurs à rédiger les rapports selon un ordre préétabli,
tout en respectant les formulations du logiciel.

Exemple de codification des causes d’accidents sur le site chimique

 A10 (Action hors-norme) : Utiliser un équipement dangereux.


 C40 (Condition hors-norme) : Utiliser un produit dans des conditions inappropriées.
 FP10 (Facteur Personnel) : Capacité inadéquate : physique/physiologique.
 FT23 (Facteur Travail) : Instructions, spécifications et/ou critères de conception inadéquats.

La formalisation précise également les rôles de chaque niveau hiérarchique dans la gestion
de l’accident, ainsi que le mode de diffusion des rapports d’accidents et d’incidents. Ces
prescriptions, a priori simples à respecter du point de vue des prescripteurs, se révèlent
complexes parce qu’elles font référence à un langage qui correspond davantage à celui des
difficultés de experts de la sécurité qu’à celui des métiers. Nous remarquons par exemple que les REX
compréhension, diffusés sous la forme de statistiques (taux de fréquence des accidents ou temps de travail
effort cognitif perdu) ne sont pas intelligibles par tous.
important
Il apparaît également que les modes de formalisation des analyses d’accidents sont difficilement
accessibles aux opérateurs de première ligne : les formulations trop abstraites des comptes
rendus d’accidents ne s’accordant pas toujours avec leur vécu.

Exemple d’une bonne pratique sur le site chimique

L’entreprise a créé un « Club utilisateur » pour aider les acteurs (encadrement supérieur et inter-
médiaire) à se servir du logiciel de traitement des accidents (Impact Entreprise). L’objectif de ce
club est d’initier le partage d’expérience entre les acteurs (difficultés rencontrées, compréhension
des fonctionnalités, améliorations possibles, etc.). Les comptes rendus des réunions du Club sont
transmis à la Direction Sécurité Industrielle du Groupe qui les prend en compte pour réaliser des
modifications sur le logiciel afin qu’il réponde mieux aux besoins des utilisateurs.

1.1.2 Le manque d’opérationnalité et d’intégration des opérateurs au processus


Le manque d’opérationnalité du REX a été constaté dans le secteur ferroviaire français, où il a
été observé que, lorsque les rapports d’accidents sont établis dans une visée trop globale (vue
d’ensemble des causes et des conséquences), ils ne sont utilisables qu’à des fins statistiques
[Wybo et al. 2003]. L’opérationnalité du REX dépend également de la longueur des boucles de
traitement des accidents. Le temps de la mise en œuvre des actions correctives joue une rôle
important parce qu’il peut déterminer le niveau de considération que les acteurs accordent
aux informations qui leur sont restituées. En effet, nous observons que lorsque le retour
effectif de l’expérience (modifications de procédures, changements de matériel, réparations
des emplacements de travail, sensibilisation des acteurs, etc.) est trop long ou inexistant, les
bénéfices mal acteurs tendent à juger le REX comme étant inefficace, ce qui rend encore plus difficile leur
perçus engagement dans le processus. Dans ce contexte, ce sont les bénéfices perçus des activités liées
aux procédures REX qui sont susceptibles d’influencer les attitudes des acteurs vis-à-vis du
REX. Cela nous amène à nous interroger sur l’utilité perçue du REX par ceux qui sont censés
en bénéficier. Mais au-delà, c’est la capacité des organisations à articuler boucles longues et
boucles courtes de REX qui pose question. Une boucle courte de REX est caractérisée par
une courte durée de traitement de l’événement de sorte à apporter des solutions rapides aux
problèmes rencontrés par les acteurs. À ce propos, [Amalberti et Barriquault 1999] soulignent la
nécessité de faire coexister les deux processus pour renforcer l’opérationnalité des démarches.

5
Systèmes informatisés de saisie des comptes-rendus d’accidents et d’incidents.

8
1.1. Les difficultés rencontrées dans la mise en œuvre du REX

Les comités REX producteurs de boucles courtes

Les réunions de chantiers constituent des instances de production de boucles courtes de REX. Elles
sont réalisées dans le cadre des chantiers de maintenance générale des installations. Sur le site
chimique, il s’agit de réunions quotidiennes de coordination et de suivi de l’avancée des travaux
au cours desquelles les questions de sécurité sont abordées. Au niveau du site nucléaire, ce sont
des réunions hebdomadaires entièrement consacrées à la sécurité. Dans les deux entreprises, ces
instances réunissent les responsables de chantier (ingénieurs, agents de maîtrise, représentants des
entreprises intervenantes). Elles consistent à :

 analyser les incidents détectés ;


 souligner les bonnes pratiques observées ;
 décider des actions correctives à mettre en œuvre à la sortie des réunions (port des EPI, respect
des procédures, correction des écarts).

Ce deuxième exemple de pratique de REX en comité montre que les opérateurs ne sont
pas représentés. Nous remarquons par ailleurs que ces derniers sont rarement associés aux
réflexions (réunions de chantier, réunions sécurité, réunions d’analyse des accidents, etc.) qui
concernent pourtant leurs propres comportements de sécurité. Cette absence de représentation opérateurs peu
pose le problème de la qualité des informations qui leur parviennent, mais aussi celui de leur convoqués
compréhension des actions correctives qui leur sont prescrites. À ce propos, nous observons
sur nos terrains de recherche que les opérateurs de première ligne ne sont pas toujours
informés des causes profondes des accidents, identifiées par les analystes. Le retour effectif
de l’expérience est le plus souvent réalisé sous forme d’injonctions de la part des supérieurs
hiérarchiques et des agents des services de prévention des risques lors des visites de sécurité.
Ce manque d’explications n’incite pas les opérateurs à s’engager dans les nouveaux modes
opératoires prescrits. Bien au contraire, il tend à renforcer leur méfiance à l’égard de leur
hiérarchie.

1.1.3 Le poids des réactions défensives sur les processus de REX


Les analyses d’accidents sont intrinsèquement sources de crise parce qu’elles sont toujours
susceptibles de révéler des défaillances en matière de prévention, des déficits de cohérence
dans l’organisation, des échecs de pilotage ou encore des transgressions de règles [Lagadec et
Guilhou 2002 ; Sarnin 2000]. Dans ce contexte, c’est le caractère contre-nature des démarches
d’analyses d’accidents qu’il convient de souligner, car même si elles œuvrent pour l’améliora-
tion continue des pratiques de sécurité, elles sont déstabilisantes pour l’organisation [Gilbert
1999]. Ce problème est d’autant plus prégnant dans les enquêtes sur les accidents majeurs que
ces derniers associent pression sociétale et contraintes judiciaires en plus des autres enjeux
cités ci-dessus. En effet, les accidents très graves provoquent de nombreuses réactions néga-
tives qui se traduisent notamment par la recherche de boucs émissaires et des demandes de
réparations financières et morales [MacDonald 1999]. Compte-tenu de l’ampleur des dommages
(matériels et/ou humains) et des conséquences éventuelles des analyses (poursuites judiciaires,
exposition médiatique, etc.), la question souvent posée en matière de REX sur les accidents ma-
jeurs est : à quel point les acteurs sont-ils prêts ou peuvent-ils remettre en cause le pilotage de
l’organisation, leurs décisions et leurs comportements [Bourdeaux et Gilbert 1999] ? Cependant,
les freins au REX sur accidents majeurs sont très proches de ceux observés lors des analyses
des incidents mineurs. Il semble que l’ampleur des dommages ne constitue pas le seul facteur
explicatif des conflits liés au REX.
Longtemps considérés comme un outil de gestion des dysfonctionnements techniques, une
étape dans les processus de gestion de projet ou encore comme une méthode de partage
d’expérience des accidents majeurs réservée aux experts, les systèmes de REX sont de plus en
plus ouverts à la prise en compte des incidents mineurs et des presqu’accidents. Ces pratiques
de REX s’inscrivent dans une démarche d’amélioration continue rendue possible par le haut
niveau de sécurité atteint dans certaines industries comme le nucléaire, la chimie, ou l’aviation.
Comparés au REX des accidents majeurs, ils ne mobilisent pas les mêmes moyens, n’exigent
pas le même niveau de formalisation et ne soulèvent pas les mêmes enjeux. Pourtant, les
démarches de REX sur des événements mineurs sont également source de conflits parce qu’elles
« attaquent le domaine intime du travail, celui des erreurs, des conflits, et des aménagements
sauvages de procédures, des petits problèmes techniques habituellement résolus que l’on a
longtemps caché à sa direction générale » [Amalberti et Barriquault 1999, p.68]. La principale

9
Facteurs socioculturels du REX

difficulté réside [Gaillard 2005, p.6] dans le fait que la recherche de la causalité des incidents
peut conduire à la remise en cause de tous :
 l’opérateur en bout de chaîne de production ;
 l’encadrement intermédiaire ;
 un service dans son ensemble ;
 une équipe de management ;
 une direction.

Autrement dit, même à des échelles de gravité moindre et malgré l’absence d’implication
judiciaire, les enquêtes sur les événements négatifs restent problématiques parce que les écarts
crainte de la remise à la sécurité sont très souvent passibles de sanction. Dans ce contexte, les réactions défensives
en cause, de la qui se manifestent à travers des conflits sont inévitables car, comme le mentionne [de Courville
sanction 2000, p.4], « personne ne va spontanément dans un commissariat expliquer qu’il vient de
brûler involontairement un feu rouge ».

Témoignage d’un employé du site chimique

« L’important dans l’arbre des causes, c’est de trouver les causes, ce n’est pas de trouver des
responsables. Mais ici, on cherche des responsables […]. On tire 70% des enseignements et les 30%
qui restent et qui sont les plus importants, on oublie. C’est la petite moelle (le cœur du problème)
qui est importante, qui comprend les vraies causes. Mais nous ce qu’on a au final, le résultat de
l’arbre des causes, c’est de changer la marque des lunettes. Qu’est-ce que vous voulez faire de ça ? »

Il apparaît ainsi que, quel que soit le degré de gravité de l’événement considéré, le REX
constitue une source de conflits.

1.2 Améliorer les processus de REX


Dans la première partie du présent chapitre, nous avons soulevé le problème de l’appropriation
du REX par les acteurs ainsi que la difficulté à mettre en œuvre des processus de REX dans
un contexte de responsabilisation et de blâme. Nous montrons que ces problèmes trouvent
aussi bien leur origine dans le management du processus que dans la culture du blâme encore
trop présente dans certaines organisations. En raison de leurs répercussions négatives sur la
sécurité, nous pensons que la prise en compte des processus sociocognitifs (représentations,
besoins, perceptions, croyances) et culturels (normes, valeurs, mythes) qui sont à l’œuvre dans
les pratiques d’analyse d’accidents peut contribuer à améliorer le REX.
Afin d’expliquer les fondements et l’intérêt de notre approche, nous montrons dans cette partie
en quoi une meilleure connaissance de ces processus peut contribuer à améliorer la sécurité.
Nous abordons dans un premier point la question de l’origine des biais dans les analyses des
accidents ; nous exposons dans un deuxième point les déterminants de l’attitude des acteurs
vis-à-vis du REX ; et nous posons dans un troisième point les conditions de l’efficacité du REX.

1.2.1 Comprendre l’origine des biais dans les analyses d’accidents


Les réactions défensives qui s’expriment dans les processus REX ont des répercussions néga-
tives sur le diagnostic de sécurité parce qu’elles sont à l’origine de biais dans les explications
des causes des accidents. En effet, « le caractère négatif de l’accident et les implications diverses
que renferment ses conséquences, notamment en terme de responsabilité, peuvent inciter
l’individu à distordre son explication dans un souci d’autoprotection » [Kouabenan 2000b, p. 89].
Ceci conduit les acteurs à produire des comptes rendus d’accidents erronés ou des rapports
qui ne permettent pas de tirer tous les enseignements des accidents passés. En effet, dans
la mesure où les leçons tirées des accidents sont susceptibles de contenir des erreurs, il est
certain que les processus d’apprentissage risquent d’être non pertinents, non valides voire
trompeurs [Zakay et al. 2004].
[Reason 2000] postule que les biais dans les explications des causes des accidents sont une
conséquence des modèles de management de l’erreur humaine qui sont trop centrés sur les
comportements des acteurs. En effet, en adoptant une perspective selon laquelle les agents
sont capables de faire des choix entre des actes sûrs et des comportements dangereux, ces
modèles induisent l’idée que, lorsqu’une action aboutit à des conséquences négatives, une

10
1.2. Améliorer les processus de REX

personne ou un collectif de travail est forcément responsable. Dans ce contexte, les causes des
accidents ou des incidents sont souvent attribuées à des traits de personnalité, un manque de
connaissance ou de savoir-faire des acteurs. Les analyses qui aboutissent à de telles conclusions
renforcent le poids du comportement humain comme facteur déterminant des accidents au
détriment d’autres causes probables (aménagement des temps de travail, manque d’effectif,
indisponibilité du matériel, etc.). Il apparaît par ailleurs que les individus partagent difficilement
leurs expériences par peur d’être sanctionnés ou blâmés. Pourtant, l’apprentissage ne peut
se développer que si les acteurs sont encouragés à tirer les leçons de leurs erreurs et si les
répercussions émotionnelles négatives de ces mêmes erreurs sont réduites [Heimbeck et al.
2003]. Pour toutes ces raisons, [Edmondson 1996] insiste sur la nécessité de combattre ces biais
en créant une culture organisationnelle de management des erreurs. Elle préconise de
bouleverser le mode de communication sur les erreurs et de supprimer les systèmes de
sanction qui accompagnent les procédures de gestion des incidents et des accidents.
Une telle démarche a été initiée au Danemark dans le secteur de l’aviation. En effet, depuis
2001, une loi votée par le Parlement impose aux compagnies aériennes d’établir un système de
reporting 6 des incidents confidentiel qui interdit en plus tout système de sanction à l’encontre
des personnes [Norbjerg 2004]. Cet exemple montre qu’il est possible d’instaurer les fonde-
ments d’une culture qui encourage les acteurs à partager leurs expériences, aussi négatives
soient-elles.

1.2.2 Connaître les déterminants de l’attitude des acteurs vis-à-vis du REX


L’analyse des accidents passés doit permettre d’identifier un risque nouveau ou d’améliorer
l’évaluation d’un risque déjà identifié, mais jugé jusque là mineur ou bien face auquel les
protections ont été insuffisantes ou inadaptées. Dans ce cadre, le REX œuvre pour l’amélio-
ration de la prévention des risques et il est une source potentielle de changement dans les
pratiques de gestion de la sécurité. En effet, les actions correctives susceptibles d’être définies à
la suite des analyses d’accidents peuvent se traduire par la mise en place de nouvelles parades,
mais elles peuvent également préconiser des changements de comportements. Nous pensons
que de tels changements, notamment ceux qui concernent les comportements des acteurs,
nécessitent leur engagement. Pour appuyer ce point, nous nous référons à des études qui
mettent en évidence les causes du désengagement des acteurs vis-à-vis des démarches de
reporting.
Dans une étude menée au sein d’une usine chimique, [van der Schaaf et Kanse 2004] proposent
une démarche qui se fonde sur le point de vue des acteurs pour mieux comprendre les raisons
qui les poussent à ne pas rapporter leurs propres erreurs. Les résultats montrent qu’en plus
de la peur (conséquence d’une « culture du blâme ») évoquée précédemment, la perception
de la faible exploitation des données rapportées par les managers, les coûts (trop de temps,
trop difficile), et l’acceptation du risque dans le cas des événements perçus comme mineurs,
sont les principales raisons invoquées par les acteurs pour expliquer leur démotivation par
rapport aux démarches de reporting. Une autre étude réalisée cette fois-ci dans une entreprise
de confection de produits pour enfants par [Pransky et al. 1999] révèle sensiblement les mêmes
résultats. Elle s’intéresse plus particulièrement aux raisons pour lesquelles les ouvriers ne
rapportent pas systématiquement les troubles musculosquelettiques dont ils souffrent.

Étude dans une usine de confection de produits pour enfants

Cette étude porte sur quatre-vingt-dix agents d’un département de conditionnement de produits
(activités de manutention et d’emballage) interrogés par questionnaire et par entretien semi-directif.
Il en ressort que : 53% des ouvriers interrogés ont déjà été atteints de troubles musculosquelettiques
aux mains et aux poignets sans les avoir rapportés auprès de l’infirmerie du site ; 10% ont déclaré
ne jamais signaler leurs troubles par peur de subir des mesures disciplinaires ; 25% pensent que les
douleurs et les gênes musculaires dont ils souffrent sont des conséquences inévitables de leur travail
(raison pour laquelle ils ne les rapportent pas) ; et 25% ont été informés de la possibilité d’obtenir
un poste aménagé en cas de trouble, mais préfèrent rester à leur poste travail. D’autres raisons
comme la peur de renvoyer l’image d’une personne « frêle », la crainte de perdre en rémunération
en travaillant moins d’heures et la séparation d’avec les collègues sont également invoquées par
les ouvriers.

6
Rapport, déclaration.

11
Facteurs socioculturels du REX

Les résultats de ces études mettent en avant la nécessité de prendre en compte le point de vue
des acteurs pour comprendre les difficultés des démarches de reporting.
Dans la même veine, notre travail apporte d’autres éléments de compréhension de l’attitude des
nature et gravité acteurs vis-à-vis du REX. En effet, nous observons en milieu industriel (chimique et nucléaire)
perçue du risque que les processus REX des événements graves ou perçus comme tels, sont sujets à davantage
sont déterminantes d’attention que les REX des événements mineurs. Nous pensons que ces différences d’intérêt
porté au REX relèvent de croyances qui sont propres aux individus. Elles sont, par exemple,
illusion de contrôle susceptibles de les amener à surestimer ou à sous-estimer leur capacité de contrôle vis-à-vis des
risques [Kouabenan 1999]. Elles peuvent également les conduire à penser que certains accidents
font partie du métier ou qu’ils ne peuvent pas être prévenus [Cru 1993]. De telles croyances
acceptation du sont dues à des erreurs systématiques de jugement qui interviennent lors de l’évaluation des
risque par fatalisme risques [Cadet et Kouabenan 2005]. Autrement dit, elles influencent la perception des risques.
Dans le cadre du travail, ces biais se caractérisent par le fait que l’individu quotidiennement
confronté aux risques liés à son activité tend à développer des stratégies défensives (déni du
déni du risque risque, minimisation des conséquences éventuelles, etc.). La compréhension de ces mécanismes
est importante parce qu’ils influencent les comportements de sécurité des acteurs en termes
de prise de risque et d’engagement dans les campagnes de prévention [Kouabenan 2006].
Ces exemples d’études montrent qu’en plus de la peur de la sanction qui est récurrente, s’ajoute
la perception de la gravité des accidents ou des incidents, qui influence également l’attitude
des acteurs vis-à-vis des procédures de REX.
En effet, ces études soulignent le fait qu’en plus de la sous-estimation des risques encourus,
certains acteurs tendent à accepter les accidents dont ils sont victimes par fatalisme. Sur ce
dernier point, nous pouvons souligner le rôle de la culture de métier sur la perception des
risques. Il s’avère par ailleurs que les risques perçus par les acteurs diffèrent de ceux qui sont
mis en avant par les experts des systèmes de gestion de la sécurité.
Les résultats de l’étude [Pransky et al. 1999] présentés ci-dessus, pointent également le fait
que la peur d’être marginalisé par le groupe de référence (collègues) et la crainte de perdre
crainte de la en rémunération constituent des risques importants pour les acteurs. Dans le cas présent, le
marginalisation risque de maladie ou d’accident est perçu comme moins grave que le risque d’exclusion du
groupe ou celui de la perte du salaire. Autrement dit, le respect des procédures de REX ne
dépend pas uniquement de la volonté managériale ; il est également largement soumis aux
motivations des acteurs.

Dans ces conditions, il est certain que seule une meilleure connaissance de la perception
des risques par les acteurs peut nous renseigner sur leurs dispositions à adopter des
comportements de protection appropriés aux risques professionnels auxquels ils sont
confrontés. Nous insistons ici sur la nécessité de prendre en compte la subjectivité des
acteurs pour comprendre ces biais afin de mieux orienter les démarches visant à influencer
leurs comportements de prévention.

1.2.3 Construire une véritable culture du REX


Des chercheurs néerlandais [van Dyck et al. 2005, p.1229] ont réalisé une étude en Allemagne
et aux Pays-Bas dans soixante-cinq compagnies appartenant à différents secteurs d’activités
(bâtiment, assurance, banque, etc.) afin de rendre compte du lien entre les performances de
ces entreprises et leur culture de management des erreurs. L’échantillon de l’étude est essen-
tiellement composé de managers (350 personnes ont participé à l’étude). Ce choix s’explique
par le fait que les managers sont les garants des processus de gestion des erreurs et qu’ils sont
par conséquent les plus à même de stimuler la culture du reporting dans les organisations.

‘‘ « La culture de management des erreurs regroupe l’ensemble des pratiques organisationnelles


qui se rapportent à la communication et au partage de connaissance sur les erreurs, à l’aide apportée
dans des situations qui en comprennent ainsi qu’à la rapidité à laquelle elles sont détectées puis
réparées. » [van Dyck et al. 2005, p.1229].

L’étude comprend une mesure de la culture de management des erreurs et une mesure des
performances des entreprises (atteinte des objectifs et solvabilité). Les variables de contrôle
sont l’âge des entreprises, leur taille (nombre d’employés) ainsi que leur secteur d’activité. Il

12
1.3. REX, explications naïves et perceptions des risques

apparaît que la culture de management des erreurs contribue positivement aux performances développer une
des entreprises : plus elle est élevée, plus les performances des entreprises le sont également. culture de
Ces résultats montrent que lorsqu’une entreprise adopte un mode de communication ouvert management des
erreurs
aux erreurs commises, elle donne la possibilité aux agents de partager librement leurs expé-
riences. Il s’ensuit que les erreurs sont rapidement détectées, analysées puis récupérées. Le
fait de savoir qu’ils n’encourent pas de sanctions, semble donc inciter les agents à rapporter
leurs propres erreurs avant qu’elles ne s’engagent dans un processus accidentel. Il semble
même que lorsque les individus sont libres de parler de leurs propres erreurs, ils développent
une compréhension mutuelle des situations à risques et des stratégies de prévention à mettre
en œuvre [Mathieu et al. 2000]. L’ouverture vers ces communications permet d’accélérer les
processus de détection et de gestion des incidents. Le développement d’une démarche de
management des risques efficiente dépend donc fortement de l’établissement d’une culture de
reporting sachant déculpabiliser les prises de risque des agents [Kouabenan 2000b] car, ce sont déculpabiliser
les analyses détaillées des aléas, des incidents et des presqu’accidents, qui permettent d’établir
des actions correctives pertinentes. Dans ce sens, [Reason 2000] préconise que l’organisation
doit trouver un juste équilibre entre les erreurs exemptes de tout blâme et les erreurs répré-
hensibles relevant davantage de la faute professionnelle grave. L’instauration d’un climat de
confiance dans le traitement des erreurs est une première étape à franchir pour créer une
véritable culture de reporting.
Nous venons d’exposer les fondements de notre démarche ainsi que les conditions de l’amélio-
ration des processus REX. À travers des exemples tirés de la littérature et quelques exemples
issus de nos expériences de terrain, nous montrons que les réactions défensives présentes dans
les démarches de reporting sont motivées par la peur du blâme et de la sanction. Nous mon-
trons également que l’attitude des acteurs vis-à-vis du REX est influencée par leur perception
des risques qui s’y rapportent, mais aussi par leur perception des systèmes de management de
la sécurité. Bien que ces perceptions ne reposent pas uniquement sur des données objectives,
nous pensons qu’elles constituent un élément essentiel pour comprendre l’attitude des acteurs
face aux risques et aux moyens de protection qui leurs sont prescrits. En effet, l’étude de
la perception et des explications des causes des accidents peut éclairer la conduite du REX
parce qu’elle permet de comprendre la nature des biais qu’elles véhiculent. Ces biais méritent
d’être analysés parce qu’ils provoquent des incompréhensions, des conflits d’intérêts et des
démarches erronées dans les pratiques de REX.

1.3 REX, explications naïves et perceptions des risques


Dans le but de préciser le contexte théorique de notre recherche, nous abordons à présent les
déterminants individuels, groupaux, culturels et organisationnels des explications des causes
des accidents et de la perception des risques. Nous montrons tout d’abord la nature des biais
dans les explications des causes des accidents, et la perception des risques. Nous expliquons
ensuite comment ces biais sont susceptibles d’influencer l’attitude des acteurs vis-à-vis du
REX.

1.3.1 Les explications naïves des causes des accidents dans les pratiques de REX
[Kouabenan 2006, p.244] définit l’explication naïve comme « l’explication fournie spontanément
pour les accidents par les individus ordinaires, non spécialistes de l’étude des accidents ».
L’étude des explications naïves prend également en compte les analyses causales des experts.
D’une manière générale, les travaux consacrés aux explications causales tentent de déterminer
les mécanismes qui font qu’un comportement observé est attribué aux dispositions de l’acteur
plutôt qu’à des facteurs externes [Ajzen et Holmes 1976] ou, inversement, à des éléments liés à
la situation plutôt qu’à l’individu.

Le concept d’attribution causale : « Processus par lequel un individu impute une cause
à son comportement ou à celui d’autrui. Cette imputation peut être faite à des conditions
internes ou dispositions propres à l’individu (capacités, aptitudes, effort, etc.) ou à des
conditions externes (condition de travail, pression temporelle, malchance, etc.). » [Kouabenan
et al. 2006, p. 298].

Les premiers travaux menés dans ce domaine [Heider 1958 ; Ross 1977 ; Weiner 1985], montrent
que les biais d’attribution ont plusieurs origines. Ils sont d’origine :

13
Facteurs socioculturels du REX

 motivationnelle : ils conduisent les individus à formuler des attributions erronées en


raison du refus d’endosser la responsabilité de l’événement ;
 cognitive : ils amènent les analystes à traiter la situation de manière insatisfaisante parce
qu’ils ne disposent pas de toutes les informations pertinentes ;
 affective : ils sont à l’origine de tension en raison des répercussions émotionnelles de
l’accident [Kouabenan 1999].
Ces biais traduisent généralement la nécessité d’autoprotection de l’individu : elle est guidée
par le besoin de renvoyer une image positive de lui-même. Dans le cadre des analyses d’ac-
cidents, cette tendance est renforcée par la peur de subir les conséquences négatives de ses
propres actes, ce qui nuit au processus d’apprentissage. Dans ce contexte, il apparaît que les
explications fournies varient suivant les caractéristiques de celui qui fait l’attribution. Dejoy
(1987, cité par [Kouabenan 1999]) montre, par exemple, que les supérieurs hiérarchiques attri-
buent systématiquement les causes des accidents à des facteurs internes aux opérateurs et
cela même lorsque les circonstances des accidents sont confuses. D’autres variables comme
la sévérité des conséquences de l’accident [Kouabenan et Guyot 2004], le lien entre la victime
et l’attributeur [Kouabenan 1998b], les circonstances environnantes (climat social, culture de
sécurité, climat de sécurité, etc.) [Gyekye et Salminen 2005] ou encore les caractéristiques de
la victime (exemple : position hiérarchique) [Kouabenan et al. 2001] influencent également les
explications causales.
Dans une étude sur la perception des risques et les explications causales des accidents de la
route, [Kouabenan 1998a] montre également le rôle des croyances sur le jugement naïf. L’étude
porte sur un échantillon de 553 personnes, âgées de 18 à 55 ans, appartenant à différentes
professions (gendarmes, policiers, chauffeurs professionnels et non professionnels, ingénieurs
de travaux civils et étudiants) et de différentes origines. Les participants ont répondu à un
questionnaire visant à connaître leurs définitions d’un accident, leurs caractéristiques person-
nelles, leurs perceptions des risques de la route ainsi que leurs explications des accidents liés
à ces mêmes risques. Le questionnaire comporte une échelle de mesure du fatalisme et des
superstitions des participants. Les résultats montrent que les personnes les plus fatalistes sont
les chauffeurs professionnels, les gendarmes, les policiers et les chauffeurs non professionnels.
Il apparaît que, ces mêmes personnes (fatalistes), ont davantage tendance que les autres à
attribuer les causes des accidents à des facteurs externes aux conducteurs comme la vétusté
des infrastructures ou les autres conducteurs, qu’à des facteurs internes aux conducteurs
(imprudence, impatience, changement brusque de direction, etc.). Concernant la perception
des risques, le groupe fataliste se divise en deux tendances : d’un côté il compte les personnes
qui surestiment le plus le taux de mortalité des accidents de la route et de l’autre, celles qui
sous-estiment le plus ce même taux de mortalité. En matière de prise de risque, les résultats
montrent que les personnes qui considèrent que le destin constitue un facteur important dans
les accidents de la route, sont celles qui prennent le plus de risques en conduisant. Là encore,
les comportements à risques des individus sont influencés par deux types de croyances : alors
que certains croient qu’aucune mesure de prévention ne peut permettre d’éviter les accidents,
d’autres sont convaincus que le fait d’invoquer des forces divines leur permettra de les éviter.
Dans la pratique du REX, l’absence de consensus autour des causes des accidents survenus
pose deux questions fondamentales :
 Dans quelle mesure le processus de REX est-il perçu comme pertinent par les acteurs ?
 Quelle est la motivation des acteurs à adapter leurs comportements de sécurité aux
enseignements tirés des analyses ?
Ces questions sont d’autant plus prégnantes que l’adhésion des acteurs aux pratiques de
REX de leur entreprise dépend de leur perception des bénéfices qu’ils peuvent en tirer. Nous
pensons en effet que le fait de partager ou non les conclusions causales des experts influence
la motivation à adopter les comportements de prévention prescrits à l’issue des analyses. Il
est donc fort probable que les acteurs qui ne partagent pas le diagnostic des experts, jugent
les actions correctives qui découlent des analyses inutiles pour prévenir les accidents. Nous
pensons également que l’absence d’explication des causes profondes des accidents ainsi que la
non-représentativité des opérateurs aux comités REX, tendent à renforcer la méfiance de ces
derniers par rapport à leur hiérarchie et aux actions correctives. Ces réactions défensives sont
dommageables à plus d’un titre parce qu’elles sont à l’origine de tensions lors des analyses
d’accidents, qu’elles altèrent le crédit accordé au REX, et qu’elles provoquent le désengagement
des acteurs.

14
1.3. REX, explications naïves et perceptions des risques

Pour toutes ces raisons, nous pensons qu’il convient de faire prendre conscience aux
différents acteurs des limites de leur jugement de sorte à ce qu’ils en tiennent compte
lorsqu’ils sont en situation d’analyse d’accidents. Nous insistons également sur la nécessité
d’établir un réel consensus entre les différents acteurs lors des analyses d’accidents pour que
celles-ci soient perçues comme étant pertinentes. Dans ce sens, la participation des acteurs
non-experts de l’analyse des accidents est importante parce qu’elle est susceptible d’éclairer
toutes les personnes concernées (expertes et non-expertes) sur la causalité des accidents.
Nous venons d’exposer l’influence des biais défensifs sur les explications causales fournies
par les acteurs. Afin de compléter notre modèle d’analyse des déterminants (individuels,
organisationnels et culturels) de l’attitude des acteurs vis-à-vis du REX, nous allons à présent
décrire le rôle de la perception des risques sur leur engagement dans le processus.

1.3.2 La perception des risques et l’attitude des acteurs vis-à-vis du REX


Le risque est la « probabilité qu’un événement ou une situation entraîne des conséquences non
souhaitables dans des conditions déterminées » [Kouabenan 2000a, p. 298]. C’est une notion qui
relève d’une évaluation, d’un jugement ou encore d’une appréciation portée sur une situation
ou un objet. L’évaluation ou le jugement repose sur deux niveaux :
 le premier consiste à « caractériser la situation, c’est-à-dire indiquer si elle comporte ou
non des risques » [Cadet et Kouabenan 2005, p. 10] ;
 le second, à évaluer la nature des dommages corporels et/ou matériels susceptibles d’être
provoqués si le risque vient à s’actualiser (op cit).
Ce sont les caractéristiques, la probabilité d’occurrence et les conséquences éventuelles de la
situation évaluée qui fondent la représentation du risque. Celle-ci se réfère aussi à des critères
subjectifs parce que l’évaluation du risque est déterminée par de nombreux facteurs psycho-
logiques, sociaux, culturels et politiques dont les règles peuvent être socialement négociées
[Slovic 1998]. Le risque est un concept multidimensionnel qui intègre des facteurs comme l’incer-
titude, la crainte, le potentiel catastrophique, la contrôlabilité ou la familiarité, qui vont varier
suivant les caractéristiques (croyances, culture, position sociale, âge, sexe, etc.) de celui ou de
ceux qui évaluent la situation [Slovic 1987 ; Kouabenan et Cadet 2005]. Les études réalisées dans
ce domaine, notamment celles qui reposent sur le paradigme psychométrique7 , montrent
bien la complexité de la perception des risques. Les premières ont démontré les différences de
perception des individus suivant le genre, l’ethnie, la nationalité et la classe sociale (Rohrmann,
1999, cité par [Taylor-Gooby et Zinn 2005]). Puis [Douglas et Wildavsky 1982] se sont intéressés
à l’influence de la culture sur la perception des risques. Acquise par le biais des processus
d’apprentissage propres au groupe d’appartenance ou de référence (famille, nation, métier,
organisation, etc.), la culture véhicule les normes, les valeurs, les rites et les tabous communs
aux membres d’un même groupe. Pour Douglas et Wildavsky, la culture constitue le noyau
commun et structurant de la perception des risques parce que les « modèles culturels agissent
comme des filtres au cours de l’évaluation des informations relatives aux risques » [Rippl 2002,
p. 148]. Dans leurs travaux, les auteurs se sont fondés sur les deux dimensions centrales de la
socialisation, à savoir le contrôle et l’engagement social. Ils ont ainsi identifié quatre modèles
culturels différenciés suivant le mode de vie, les attitudes et les comportements des membres
du groupe et le type de relation sociale qui les caractérise. Il s’agit :
 des groupes hiérarchiques ;
 des groupes égalitaires ;
 des groupes fatalistes ;
 des groupes individualistes.

L’appartenance des individus à tel ou tel groupe culturel influence significativement leur
perception des risques. Il s’avère qu’en matière de risques technologiques majeurs (pollutions
environnementales ou catastrophe nucléaire) par exemple, la différence est manifeste : les
groupes individualistes ont tendance à considérer ces risques comme une opportunité ou
un moyen de faire avancer la société ; les groupes fatalistes sont davantage dans le déni du
risque [Rippl 2002] ; les groupes égalitaires les évaluent davantage comme étant très dangereux
et peu bénéfiques [Dake 1992]. Comme ils sont plus critiques vis-à-vis des institutions parce

7
Modèle d’évaluation des risques s’appuyant principalement sur des représentations et des valeurs sociales.

15
Facteurs socioculturels du REX

qu’elles symbolisent l’autorité, les groupes égalitaires ont également davantage tendance que
les autres groupes à remettre en cause les politiques de gestion des risques majeurs. À l’inverse,
les membres des groupes hiérarchiques tendent à se soumettre aux décisions des autorités
[Rayner 1988]. Cela ne signifie pas pour autant que les groupes hiérarchiques ne perçoivent pas
la gravité des risques technologiques. En fait, les différences culturelles s’expriment davan-
tage dans les stratégies de coping (faire-face) des individus, que dans l’évaluation du risque.
Autrement dit, la perception du risque ne se définit pas seulement par la conscience qu’en a
l’individu, mais aussi par les stratégies qu’il met en œuvre pour s’en défendre.
La construction sociale de la perception des risques que nous décrivons ici, rend compte de
l’influence de la culture, des normes, des croyances et des valeurs du groupe d’appartenance.
En effet, les études exposées montrent que le jugement de l’individu est influencé par son
environnement social : lorsqu’il est amené à évaluer un risque, l’individu formule un jugement
conforme aux croyances véhiculées dans sa culture. De telles croyances peuvent l’amener à
surestimer la gravité de certains risques (exemple des membres des groupes égalitaires) ou
à nier leur existence (exemple des membres des groupes fatalistes). Elles peuvent également
l’amener à favoriser les éléments qui confirment ses croyances passées lorsqu’il est amené à
évaluer la probabilité d’un événement [Tversky et Kahneman 1974]. Dans ce sens, nous faisons
l’hypothèse que le manque d’investissement des acteurs dans le REX est également
dû au fait qu’ils ne se perçoivent pas comme les « cibles » des risques qui leur sont
communiqués par les experts. Les acteurs non-experts ont une perception différente de celle
des experts : les processus sociocognitifs et culturels de la perception des risques véhiculent
des biais les conduisant à formuler des jugements erronés. [Langer 1975] met en évidence
l’existence des illusions de contrôle qui poussent certaines personnes à se croire plus habiles
qu’autrui à faire face à une situation dangereuse. Dans ce cas de figure, nous pensons que
lorsque les individus estiment que leur capacité de contrôle face au risque est supérieure à celle
de la victime, ils ont tendance à négliger les messages de prévention. À l’instar de [Weinstein
1989], nous pensons également que ceux qui n’ont jamais été confrontés à un risque donné
sont susceptibles d’être moins sensibles aux messages de prévention qui s’y rapportent que
ceux qui ont déjà expérimenté la situation.
En matière de REX, ces travaux nous amènent à penser que l’articulation des dimensions
individuelles (croyances, culture, niveau d’expertise, etc.) et des caractéristiques des risques
(gravité, contrôlabilité, familiarité, etc.) est susceptible de faire varier la perception des risques
suivant le métier, le niveau hiérarchique, le service et l’entreprise. Nous pensons également
que ces perceptions sont susceptibles d’influencer l’attitude des acteurs vis-à-vis du REX. Dans
ce sens, nous faisons l’hypothèse que plus les risques sont perçus comme étant bénins et
peu probables, moins ils sont susceptibles de susciter l’intérêt des acteurs (exemple :
glissade versus incendie). Pour renforcer ces idées, l’étude comparative de la perception des
risques entre l’industrie chimique et nucléaire peut révéler des évaluations différentes des
risques (exemple : risque radiologique versus risque toxique) ainsi que des attitudes plus
ou moins favorables vis-à-vis du REX. En effet, les technologies utilisées étant différentes,
nous faisons l’hypothèse que les acteurs se sentiront moins concernés par des REX qui font
référence à des risques dont ils ne se perçoivent pas comme des cibles. Le fait de révéler de
telles différences permettra de montrer un effet de la perception de la cible du risque (soi-même
versus autrui) sur la motivation à participer au REX.
Il s’avère ainsi que la conscience du risque, la perception de sa gravité et de sa probabilité
constituent un des facteurs explicatifs de l’attitude des acteurs vis-à-vis du REX. Cependant,
il faut garder à l’esprit que la conscience du risque ne constitue pas la seule condition de
l’engagement des acteurs. À cet élément s’ajoutent les points exposés dans la première partie
de ce chapitre :
 coûts (temps, compétence, effectif, effort cognitif) ;
 bénéfices perçus ;
 manque de moyens alloués ;
 perception de l’attitude des managers

comme autant d’autres facteurs déterminants de la motivation des acteurs à s’engager dans le
REX.
Pour comprendre ces phénomènes, les modèles des comportements de protection fondés
sur les croyances offrent un cadre d’analyse intéressant. En effet, en plus de la perception de
la probabilité et de la gravité du risque, ces modèles insistent sur l’effet combiné de l’efficacité,

16
1.4. Conclusion et perspectives

du coût et des bénéfices perçus de l’action à entreprendre sur la motivation des individus à
adopter des comportements de protection [Weinstein 2000]. Ils nous permettent donc d’inté-
grer les conditions environnantes (moyens, accessibilité et coûts) ainsi que les déterminants
de la perception des risques (probabilité, gravité et caractéristiques de l’individu) qui sont
susceptibles d’influencer l’attitude des acteurs vis-à-vis du REX.
Nous venons d’exposer dans cette partie, le cadre théorique de notre approche. Nous présentons
notamment les déterminants individuels (croyances, variables sociodémographiques, position
sociale, etc.) et contextuels (culture, climat, contexte économique, etc.) des explications causales
des accidents ainsi que ceux de la perception des risques. Cet exposé montre que l’attitude
des acteurs vis-à-vis du REX est fortement influencée par des biais défensifs. En effet, tous
les travaux relatés mettent en avant l’existence de mécanismes défensifs (déni du risque, déni
de son propre rôle causal, sentiment d’invulnérabilité, sentiment de supériorité, etc.) dans la
perception des risques ainsi que dans les explications causales. Ces travaux mettent en évidence
la prévalence des biais égo-défensifs qui sont activés quand les acteurs se sentent menacés
par les risques ou par les procédures d’analyse d’accidents. Dans le cas de la perception des
risques, ces biais renvoient à la peur d’être confronté à un risque face auquel on est démuni :
les individus nient l’existence d’un risque ou se convainquent de leur invulnérabilité parce
que l’absence de contrôle est une source d’angoisse. Dans le cas des explications causales,
les biais défensifs rendent compte cette fois-ci de la peur d’être sanctionné en raison des
imputations de fautes qui sont susceptibles de conclure les analyses d’accidents. Finalement,
il apparaît que l’évaluation du risque ainsi que les explications naïves varient suivant les
caractéristiques des acteurs (expert/non-expert, cadre/ouvrier, etc.). Il apparaît également que
la perception et les explications ne reposent pas uniquement sur des calculs statistiques ou
des informations objectives : « lorsqu’il émet un jugement ou lorsqu’il fait une prédiction,
l’individu […] compte plutôt sur un nombre limité d’heuristiques 8 qui lui permettent parfois
d’avoir un jugement raisonnable, mais qui le conduisent aussi à formuler des jugements
systématiquement et gravement erronés » [Kahneman et Tversky 1973, p. 237]. Nous pensons
donc que la prise en compte des processus sociocognitifs (représentations, besoins, perceptions,
croyances) et culturels (normes, valeurs, mythes) qui fondent le jugement est importante parce
qu’ils déterminent l’attitude des acteurs vis-à-vis du REX.

1.4 Conclusion et perspectives


Le présent chapitre expose le contexte et les fondements théoriques de notre démarche. Dans
la première partie, nous soulignons les difficultés liées aux coûts, à l’opérationnalité et aux
réactions défensives présentes dans les démarches de reporting. Dans la deuxième partie,
nous montrons, à travers une revue de la littérature sur le REX, la nécessité de créer une
véritable culture de REX afin d’encourager les acteurs à communiquer leurs expériences.
Nous exposons également dans cette partie en quoi notre objectif, la compréhension des biais
explicatifs et perceptifs qui sont au cœur des difficultés du REX, peut aider à améliorer les
pratiques de sécurité. Pour finir, nous présentons les fondements théoriques de notre démarche.
Cette dernière partie présente l’articulation des concepts théoriques que nous utilisons pour
comprendre la nature des biais à l’œuvre dans les explications causales fournies par les acteurs
ainsi que dans leur perception des risques. Il s’avère que les pratiques des acteurs ainsi que leur
adhésion aux programmes de prévention, dépendent de la création d’un climat de confiance
lors de l’analyse des accidents. Dans ce sens, nous pensons que les systèmes de sanction
doivent être proscrits des pratiques d’analyse d’accidents pour encourager la communication
ainsi que l’engagement des acteurs dans le REX.
Finalement, le REX se présente comme un construit social déterminé par les situations à risques
auxquelles sont confrontés les salariés. Fortement dépendantes du niveau de risque jugé ac-
ceptable au sein de l’organisation, les pratiques de REX résultent des multiples implications
(économiques, politiques, réglementaires, organisationnelles, sociales, et psychologiques) des
situations accidentelles auxquelles elles se consacrent. Dans ce contexte, l’étude des détermi-
nants organisationnels de la sécurité, ainsi que celle des dynamiques sociales qui s’articulent
autour de la gestion des risques, est importante pour comprendre les fondements du REX. Il
apparaît également que les pratiques de REX sont déterminées par les processus sociocogni-
tifs (représentations, besoins, perceptions, croyances) et culturels (normes, valeurs, mythes)

8
« Les heuristiques sont des procédés de jugement qui permettent d’obtenir rapidement une évaluation en simplifiant
le travail cognitif qu’elles impliquent. » [Kouabenan et al. 2006].

17
Facteurs socioculturels du REX

propres aux acteurs concernés. Partant de là, nous cherchons à comprendre les représentations,
les perceptions, les croyances, les besoins et la culture des acteurs qui influencent leur attitude
vis-à-vis du REX.
Nous sommes conscients des limites de notre approche, liées au grand nombre de variables à
prendre en compte pour arriver à saisir tous les déterminants (individuels, organisationnels,
culturels) de l’attitude des acteurs. En effet, le travail que nous menons porte sur quatre sites
industriels qui présentent chacun des caractéristiques (risques, culture, pratiques de gestion
de la sécurité) qui leur sont propres. Dans ces conditions, et malgré les études déjà entreprises,
nous sommes conscients du travail qu’il reste à accomplir afin de vérifier toutes nos hypothèses
de recherche.

18
2
La sécurité dans les transports aériens
européens : idées reçues et nouvelles
approches

Doctorante Kyla Steele


Directeur de thèse René Amalberti (Haute Autorité de Santé & Université
Paris 8)
Partenaires scientifiques Jean Pariès (Dédale SA)
Erik Hollnagel (Centre de recherche sur les Risques et les
Crises, Mines-ParisTech)
Terrain industriel Compagnies aériennes

Le transport aérien est fréquemment présenté comme étant le plus sûr des moyens de transport
publics. Ce n’est pas par hasard… C’est sur la base de nombreuses réflexions, grâce à des
investissements considérables (financiers, humains, de temps etc.), à partir de multiples essais et
de leçons tirées d’erreurs que s’est bâti le système aérien moderne. Ce système ne se limite pas sécurité = zéro
à des pilotes bien entraînés aux commandes d’avions sophistiqués. Il s’agit d’une infrastructure accident
très mature comportant de multiples couches organisationnelles autour du cœur d’activité.
Des organisations internationales travaillent à la standardisation de la réglementation sur la
conception des équipements, la formation des opérateurs et les procédures opérationnelles à
l’échelle mondiale.
Le secteur de l’aviation reconnaît les apports des systèmes formalisés de Retour d’EXpérience
(REX) comme un moyen de communiquer sur des évènements réels ou potentiels. Le REX
est considéré comme un outil de prévention extrêmement pertinent dans un domaine où
l’accident est perçu comme inacceptable et où seule une infime minorité du personnel a déjà
fait l’expérience d’un désastre. Le REX faisant suite à des catastrophes occupe également
une place formelle dans l’industrie des transports aériens, avec des investigations à grande
échelle menées par des autorités d’enquête accident indépendantes, en coopération avec des
représentants d’autres organismes (comme les fabricants). Les rapports et recommandations
sont rendus publics et peuvent être à l’origine de nouvelles réglementations, conceptions et
procédures. Tout ceci, bien évidemment, a significativement contribué au succès du secteur
aérien tel qu’il existe aujourd’hui. Ce système, au stade de maturité qu’il atteint de nos jours, est
le résultat des efforts combinés de millions de personnes dans le monde et des connaissances
accumulées à travers des dizaines d’années d’expérience. Ce corpus de savoirs inclut des
principes non-techniques prenant en compte les aspects humains sur la façon dont les gens
conçoivent, pilotent, réparent les avions et contrôlent le trafic, ainsi que sur la manière dont
l’activité est organisée, régulée et analysée en cas d’accident.
L’importance des facteurs humains (FH) est de plus en plus reconnue ces dernières années ; les
tentatives pour les inclure dans les REX formels et dans les enquêtes accidents se multiplient,
avec pour objectif l’identification et la correction de problèmes qui menacent la sécurité.
Cependant, ces essais, aussi prometteurs soient-ils, rencontrent selon nous un succès limité.

19
Facteurs socioculturels du REX

les FH : une des Une des raisons pour lesquelles il est difficile d’apprendre d’évènements non-techniques,
priorités du REX réside dans l’absence d’existence d’un modèle commun ou d’une compréhension partagée des
facteurs humains et de leur implication dans le travail au quotidien. L’empreinte fortement
technique de l’aviation, le profil technique de la majorité des experts, conduisent à une gestion
également technique des problèmes, qui tient peu compte de la complexité et de l’importance
qu’il y a à intégrer les aspects facteurs humains. Il est ainsi fréquent que ces aspects facteurs
humains soient tout simplement assimilés à du bon sens, engendrant des principes allant de
soi, qui, du fait de la nature humaine des acteurs du système, sont compris et surtout acceptés
par tous.

Pourquoi les transports aériens sont-ils sûrs ? Qu’est ce que les professionnels de l’aviation
pensent, croient, ressentent comme étant sûr ? L’objectif de ce travail de recherche est
d’expliciter certaines des convictions, des hypothèses sur la sécurité reconnues et acceptées
comme du bon sens dans le secteur de l’aviation. Au travers d’une enquête menée auprès
de compagnies aériennes européennes, cette étude vise à cartographier le paysage des
croyances en ces hypothèses dans différents sous-secteurs de l’aviation. Un des objectifs
principaux du travail sera de préparer un manuel simple et concis, destiné aux profes-
sionnels de l’aviation, décrivant ces principes de sécurité dans un langage accessible et
illustrant leurs implications au niveau opérationnel. Mieux comprendre les croyances sur
la sécurité dans les transports aériens, permettra de mieux intégrer les facteurs humains
dans le REX et, plus généralement, dans le management de la sécurité et représentera une
source de progrès indéniable dans ce système socio-technique complexe.

Ce chapitre débutera en exposant les paradoxes et défis auxquels les chercheurs qui s’in-
téressent à la sécurité aérienne sont confrontés, interrogeant la mesure dans laquelle les
convictions des acteurs affectent leur comportement en matière de sécurité et l’illustrant
par quelques exemples concrets. Dans la seconde partie, nous discuterons notre logique d’ap-
proche, présenterons notre méthodologie et expliquerons comment nous comptons contribuer
à une meilleure compréhension de l’omniprésence de certaines croyances dans l’aviation et
de la façon dont ces idées reçues, ces croyances, affectent la sécurité. La troisième section sera
un état des lieux des recherches précédentes, présentant les bases théoriques sur lesquelles
se fonde notre étude, et qui inclut les caractéristiques des modèles de sécurité qui se sont
succédés au cours de l’histoire des transports aériens, ainsi que les hypothèses contestées
définissant le paradigme de la sécurité actuel. Nous conclurons par un résumé des parties
précédentes et une discussion de nos recherches en cours.

2.1 Comprendre la sécurité dans l’aviation


Vue de l’extérieur et comparée à d’autres industries, l’aviation apparaît comme très stan-
dardisée et homogène. Des standards, des réglementations sont établis pour définir des cri-
tères détaillés de méthodes de conception, de sélection de matériel, de certification et de test,
de qualification de personnel, de pratiques opérationnelles, d’infrastructures de navigation,
d’agencement des aéroports et des services au sol pour ne nommer qu’eux. Même les détails
minutieux, tels que les symboles sur les graphiques aéronautiques, les mots utilisés en conver-
sation radio, ou la couleur de la peinture sur le revêtement d’une voie de taxi, sont pris en
compte de manière à créer un environnement opérationnel homogène au niveau international.
Cette homogénéité facilite le bon déroulement du travail et offre une référence commune aux
personnels pour les discussions professionnelles, facilitant et augmentant l’efficacité de la
communication au niveau de l’industrie.

20
2.1. Comprendre la sécurité dans l’aviation

2.1.1 La sécurité : savoirs et hypothèses


Malgré cette homogénéité, il existe peu de consensus dans l’industrie concernant les connais-
sances non-techniques que représentent les facteurs humains et leur influence sur la sécurité,
il est donc difficile de communiquer dessus. De plus, l’intégration des facteurs humains dans pas de consensus
l’industrie aérienne, même si elle est hautement développée, montre certaines limites, comme sur les FH
nous le soulignons dans l’exemple qui suit.

Témoignage dans un centre de R&D

Nous avons eu l’occasion de discuter avec le personnel d’un centre de recherche et développement
qui conçoit et teste des instruments de bord et des systèmes de cockpit, centre considéré comme
relativement avancé dans le domaine des facteurs humains. Dans le cadre du projet HILAS1 , ce
centre développe une « boîte à outils » facteurs humains. Cependant, cette boîte à outils se focalise
seulement sur une partie limitée des facteurs humains : les propriétés visuelles de l’interface
homme/machine comme la lisibilité, le contraste, la clarté. Si ces aspects « physiologiques » méritent
d’être considérés et sont encore trop fréquemment ignorés, cette boîte à outils ne tient pas compte
de l’ergonomie cognitive qui est une question tout à fait différente.

Pour finir, bien qu’ils se soient accumulés et constituent le sens commun collectif au sein de l’in-
dustrie aérienne, il n’est pas possible de démontrer la plupart de ces principes non-techniques
par quel que moyen scientifique moderne que ce soit. Ces croyances, ces principes évoluent
en partie grâce à la contribution de l’ergonomie et des Facteurs Humains2 , mais le fait qu’ils
soient généralement « non-prouvés » (ou bien prouvés sur la base de méthodes scientifiques nécessité de
elles-mêmes subséquemment questionnées) explique que l’on s’y réfère plus comme à des moderniser les FH
« hypothèses ». C’est alors le travail des chercheurs en Facteurs Humains et en sécurité de
questionner continuellement ces hypothèses et de mettre leurs théories à jour autant que
possible.

Étant données la complexité du système et la disparité des contributions permettant à des


dizaines de milliers de vols d’atteindre leurs destinations chaque jour sans qu’il y ait mort
d’homme, dans quelle mesure comprenons-nous vraiment ce qui rend l’aviation sûre ?

2.1.2 Est-il possible de mesurer et de contrôler la sécurité ?


La sécurité est un concept socialement construit, c’est-à-dire que nous décidons de sa signifi-
cation et que nous pouvons choisir arbitrairement comment la mesurer. Nous discutons de la
sécurité comme d’une propriété de l’activité (un vol sûr) ou d’un composant du système (un
avion sûr ou un contrôleur aérien sûr). Cependant, cette propriété est extrêmement subjective la sécurité, c’est
et encore plus difficile à observer de l’extérieur. C’est pourquoi nous choisissons souvent de subjectif…
mesurer la sécurité en terme de résultats. En réalité, nous ne savons la mesurer qu’en termes
d’absence de résultats ou d’occurrence d’évènements négatifs arbitrairement sélectionnés
(e.g. un décès, une blessure mortelle ayant entraîné la mort après un certains laps de temps,
une blessure grave, une perte d’appareil, des dommages à des biens excédant une certaine
valeur, etc.). Nous calculons alors la sécurité relative basée sur une autre unité de mesure
arbitrairement sélectionnée (e.g. mouvements de vol, nombre de miles effectués, années ou
heures d’opération, etc.) pour obtenir un taux de sécurité qui peut être utilisé comme moyen
de comparaison.
Ainsi, en réfléchissant sur ce qui apparaît comme un concept simple « la sécurité du voyage
aérien », nous voyons qu’il n’y a pas de moyen absolu, objectif de le mesurer. Du fait de
sa subjectivité et de son caractère non-quantifiable, la sécurité présente une nature élusive.
Cela signifie qu’il est difficile de déterminer ou d’observer en termes concrets comment les
différentes personnes, processus et technologies au sein du système influencent la sécurité.
Nous ne comprenons donc pas complètement d’où provient la sécurité, comment elle est
maintenue ou comment l’améliorer.

1 HILAS : Human Integration into the Lifecycle of Aviation Systems, Intégration des hommes dans le cycle de vie des
systèmes de l’aviation.
2
Le terme Facteurs Humains en majuscules fait référence dans notre propos à la discipline scientifique ou aux
chercheurs.

21
Facteurs socioculturels du REX

2.1.3 Hypothèses de sécurité : remettre le status quo en question


Ces vingt-cinq dernières années, la recherche a montré que certaines des idées reçues, des
hypothèses sur la sécurité qui perdurent au sein de l’industrie aérienne sont fausses, ou ne se
vérifient pas dans certaines conditions. Pourtant, on continue à y croire (parfois aveuglément),
nécessité de à les enseigner et à baser les pratiques de travail et les réglementations dessus. Les vieux
questionner les modèles et les vieilles méthodes ne correspondent plus aux besoins de l’aviation moderne
hypothèses de et l’on sait maintenant que cela freine le progrès. Cependant, les alternatives ne sont pas
sécurité
testées, posant ainsi de nouveaux risques. Ces alternatives apparaissent trop chères et trop
compliquées à mettre en œuvre par les opérateurs à bord ; les nouvelles techniques sont trop
difficiles ou trop complexes pour que les industriels s’en saisissent dans un temps raisonnable.

2.1.4 Le chemin vers le changement est difficile


Nous pouvons commencer cette section en illustrant ce titre par un exemple.

Résistance au changement

Un manager sécurité d’une compagnie aérienne a synthétisé l’opinion de ses collègues (incluant
aussi la sienne), au cours d’une réunion : « Ces idées (académiques) nous semblent intéressantes,
mais ne nous sont absolument d’aucune utilité, personne dans cette société n’a de temps pour ça.
Oubliez ça. Donnez-nous quelque chose que nous pourrons utiliser ! ». Un fabriquant d’appareils
explique la décision qu’ils ont prise de ne pas installer à bord une nouvelle méthode de management
de risque et de modélisation de la sécurité : « Nous voulions le faire, nous pensions que c’était une
bonne idée. Bien sûr, il y avait le problème du coût, intégrer un tel système aurait impliqué des
changements au travers de l’organisation et cela coûte très cher ; comment pourrions nous justifier
cela en termes de coûts-bénéfices ? Si cette nouvelle méthode avait été plus mature, déjà essayée
ailleurs, nous aurions mis davantage de bonne volonté à l’appliquer ; c’était juste trop risqué. Mais
maintenant, des années après, nous savons exactement que c’était le genre de chose dont nous
avions besoin, et dont nous avons toujours besoin. »

La littérature académique qui réfute ou questionne les hypothèses de sécurité de base, est
souvent très complexe et très théorique, et peut être peu accessible ou intuitive pour les opéra-
manque de tionnels du secteur. Les acteurs au niveau opérationnel manquent visiblement de ressources
ressources des expliquant clairement et illustrant en situation de travail quand et pourquoi les limites de ces
industriels hypothèses sont atteintes (et que ces hypothèses peuvent donc se révéler dangereuses).
Dans ce domaine de recherche, comme ailleurs, existent aussi des divisions politiques. Même
dans les communautés scientifiques ostensiblement objectives, ceux qui questionnent les
normes existantes et qui se détachent du courant principal peuvent perdre la faveur de ceux
qui ont un intérêt à maintenir le status quo. Il y a ainsi une sorte de bataille à mener ; les
changements proposés doivent être argumentés et défendus face aux doutes et à la résistance
au changement. Cette bataille sert de premier test de validité des arguments scientifiques
et des preuves sous-jacentes. Au cours du temps, si certaines personnes acceptent de plus
en plus les idées, d’autres personnes arrivent indépendamment aux mêmes conclusions sur
la base de données empiriques. Du fait que de plus en plus de professionnels opérationnels
réalisent les limites du status quo et prennent conscience de la nécessité d’améliorer les choses,
ils se mettent en quête de nouvelles réponses. Ainsi, les hypothèses de sécurité se trouvent
questionnées au niveau opérationnel aussi bien qu’au niveau académique.
Les systèmes de REX dans l’aviation mis en place pour apprendre des accidents et des pres-
qu’accidents n’apportent pas les bénéfices attendus [Amalberti 2006 ; Becker et al. 2006 ; Johnson
le REX n’est pas la 2000]. Nous avons pour exemple des organisations qui essayent d’utiliser des outils qui ne
panacée… conviennent pas, tout simplement parce que le modèle à partir duquel sont construits les outils
est inadapté au contexte du travail. Nous pouvons illustrer ce point par quelques problèmes
de taxonomie.
Le système de reporting d’incident dans l’aviation s’appuie sur une taxonomie des événements
observés et des causes adjugées. Ce choix est fait pour des raisons pratiques : il est impossible
d’analyser de grande quantité de données sans coder les concepts similaires, grouper les
choses en catégories, distiller les données sous une forme gérable. Cependant, le premier et le
plus évident des problèmes liés à la taxonomie, est qu’une liste prédéfinie limite les réponses
possibles. En effet, vous ne pouvez pas sélectionner quelque chose qui n’est pas sur la liste,
les catégories doivent donc être déterminées a priori. Il n’est donc pas étonnant, par exemple,
qu’aucun accident n’ait été attribué au manque de conscience de la situation avant que le

22
2.1. Comprendre la sécurité dans l’aviation

terme « conscience de la situation », plus utilisé sous sa forme anglaise « situation awareness »
ou SA, n’ait été inventé. Bien entendu, les listes peuvent être mises à jour3 .
Les catégories que nous mentionnons sont bien entendu des « causes » d’incidents, ou, pour
utiliser un langage plus délicat, des « facteurs contributifs » ou des « facteurs explicatifs ».
Ceci soulève la question de la causalité, qui est un concept dépourvu de sens au regard de la
théorie du système complexe [LeCoze 2005 ; Moulin et Pariès 2007] et du constructivisme [Gergen
1999]. Même les évènements en apparence simples comme un défaut de boulon, peuvent
mener à différents chemins si quelqu’un demande : « Pourquoi ? » (Est-ce que l’opérateur
effectuait un atterrissage difficile ? S’agissait-il d’une erreur de maintenance ? Un défaut de
conception ? Une dérive dans la qualité de fabrication ? Un mauvais calcul concernant les
matériaux sous-jacents ? Une erreur de contrôle dans n’importe lequel de ces domaines ? etc.)
Les accidents simples n’existent pas4 .
De par sa conception, une taxonomie simplifie cette complexité. Si l’on peut certainement
apprendre en amassant des rapports qui étiquettent les évènements selon des typologies
comme « incursion sur piste » ou bien « perte de distance de séparation », certains managers
et régulateurs sont frustrés et déçus par le peu de leçons que l’on peut tirer de ces systèmes de
reporting. Si la structure de ces systèmes fait qu’ils sont tout à fait adéquats pour rapporter les
aspects techniques des incidents, ainsi que les évènements très spécifiques, très bien définis (par
exemple une collision aviaire), est-ce vraiment le type d’informations que nous recherchons ?
Imaginons-nous vraiment en tirer des leçons valables ? Qu’en est-il de la contribution supposée
à 70–90% des facteurs humains ?
Le paradoxe c’est que les personnes qui vivent avec la taxonomie, qui croient que ce classement,
ce comptage et ces calculs arbitraires équivalent à des progrès significatifs pour la sécurité, sont
ceux-là mêmes qui insistent sur le fait que les facteurs humains jouent un rôle à 70–90% dans
les accidents d’avion. Ils continuent à ne jurer que par un système absolument inapproprié à la
capture des explications contextuelles profondes des occurrences notables dans les systèmes
socio-techniques complexes.
Ainsi, les systèmes de REX basés sur la taxonomie présentent de nombreuses limites parce
qu’ils se fondent sur un modèle positiviste5 , cartésien, mécaniste et par conséquent quantitatif
du monde. Pourtant, comme nous allons le montrer par les exemples qui suivent et par
notre revue de la littérature, ce « modèle du monde ne reflète pas le monde dans lequel nous
vivons » [Woods 2004].

3
À titre d’exemple, la taxonomie ADREP (Accident/incident Data REPorting ou système de reporting de données
d’accident/incident), couramment utilisée pour le reporting d’incident dans l’aviation, comportait 88 catégories à
l’origine et s’était déjà étendue à 552 en 2000 [Cacciabue 2000].
4 Dekker (2004), communication personnelle.
5
Le positivisme est une philosophie qui revendique que la seule connaissance authentique est la connaissance
acquise au travers de l’expérience par l’observation et la mesure de preuves expérimentales, généralement via
l’application d’une méthode scientifique.

23
Facteurs socioculturels du REX

2.1.5 Le « bon sens » remis en cause par l’empirisme


Avec les exemples suivants, nous allons montrer comment certains accidents tristement cé-
lèbres ont remis en cause le bon sens supposé des hypothèses traditionnelles.

Conflit entre TCAS et ATCos6 : l’accident d’Überlingen

Les appareils partageant le même espace aérien sont normalement dirigés par des contrôleurs
aériens de façon à conserver une distance minimale entre eux. En dernier recours, si, pour une
raison ou une autre, cette distance de séparation n’est pas respectée, existe le système TCAS (Traffic
alert and Collision Avoidance System, ou système d’évitement de collision en vol). Les ordinateurs
TCAS à bord des deux appareils en situation conflictuelle, vont coopérer pour résoudre le conflit
(e.g. décider qu’un appareil doit descendre et l’autre monter) et donner des instructions verbales
(des conseils de résolution) aux pilotes qui doivent les suivre selon leur propre discernement. Les
contrôleurs aériens ne sont pas concernés par les conseils de résolution des TCAS et ne reçoivent
aucune information des TCAS. Ainsi, dès la conception des TCAS, on reconnaît la possibilité
d’émergence d’un conflit entre les instructions données aux pilotes par les contrôleurs aériens, et
celles qu’ils reçoivent des TCAS. Des règles ont alors été mises en place pour permettre aux pilotes
de compenser ce problème de conception.
La collision à moyenne altitude au dessus d’Überlingen, en Allemagne en 2002, s’est produite après
que les instructions données aux pilotes par les contrôleurs et les TCAS sont entrées en conflit. S’en
est suivi une confusion des pilotes, ne sachant pas quelles instructions suivre. Finalement, l’un des
appareils a suivi les instructions du TCAS, tandis que l’autre a suivi celles des contrôleurs. Après
l’accident, le contrôleur aérien qui avait donné les instructions a été accusé d’homicide involontaire
et assassiné plus tard par un homme ayant perdu sa famille dans l’accident.

L’accident d’Überlingen est un exemple typique du fait que les nouvelles technologies, si elles
permettent de régler certains problèmes, sont susceptibles d’en créer d’autres et d’augmenter
la complexité du système. Cet exemple va à l’encontre du « mythe de substitution », hypothèse
selon laquelle remplacer l’homme par les automatismes est le meilleur moyen d’éliminer les
risques. De plus, cet accident est un exemple des limites du « normativisme7 », montrant
qu’il existe un fossé entre la théorie et la pratique. Il y a une différence entre la façon dont le
TCAS a été conçu pour être intégré dans un environnement de navigation aérienne et la façon
dont il est réellement utilisé dans un monde aux ressources limitées en conditions normales
(i.e. conditions imparfaites). La couverture médiatique et les conséquences tragiques de cet
accident soulèvent également la question de la culture du blâme, de l’opacité et du droit du
public à accéder à l’information, ainsi que celle de la responsabilité individuelle (légale ou
autre) liée à la sécurité. De fait, on voit dans ce cas que la responsabilité individuelle et l’accès
total à l’information n’ont pas contribué à la sécurité de vol.

Accident du vol Swissair 111

Le vol Swissair 111 s’est écrasé sur la côte est du Canada en 1998, entraînant la mort de 229
personnes. Un feu dans le système électrique de l’appareil est à l’origine de l’accident. Le feu s’est
déclaré dans des isolants de câbles électriques et s’est rapidement propagé, détruisant des systèmes
de vol critiques et remplissant le cockpit de fumées et de vapeurs. Le câblage électrique dans les
appareils vieillissants avait déjà été identifié comme un problème potentiel et l’industrie essayait de
décider que faire à ce propos. De plus, dès les débuts de l’aviation, l’inflammabilité des matériaux à
bord des avions a été prise en compte dans la conception.

L’accident d’Überlingen, tout comme celui de Swissair, démontrent les limites des capacités
de l’industrie aérienne à apprendre de ses accidents et à les prévenir de manière proactive. Le
potentiel problème de confusion d’un pilote face à des instructions de TCAS et de contrôleurs
aériens conflictuelles avait déjà été évoqué, tout comme d’ailleurs les problèmes liés à l’iso-
lation électrique et à l’inflammabilité de certains matériaux. Pourtant, les décideurs au sein
de l’industrie (dans ce cas, les régulateurs) furent incapables de prendre toutes les mesures

6
Air Traffic Controller, contrôleurs aériens.
7
Le normativisme se réfère à la croyance selon laquelle le système peut et devrait fonctionner en suivant les normes
formelles et prescriptives (i.e. règles et procédures) dans toutes circonstances et qui suppose que ces normes sont
correctes et complètes. La perspective normativiste exclut la possibilité de changement, de nouveauté, de surprise,
d’adaptation, d’improvisation ou d’innovation.

24
2.1. Comprendre la sécurité dans l’aviation

préventives possibles de manière réaliste, et décidèrent qu’il s’agissait là de risques accep-


tables, en, dans certains cas, simplement reportant leurs actions jusqu’à ce que le problème
des appareils vieillissants soit mieux compris. Après coup, ces décisions peuvent sembler
immorales, mais il s’agit en fait de compromis plutôt normaux qu’il est nécessaire de faire
au quotidien pour continuer à fonctionner dans un environnement où la sécurité n’est pas
la seule priorité. Cependant, en réalité, les compromis se construisent souvent sur la base
d’informations imparfaites. L’alternative est alors de suspendre certaines opérations aériennes
jusqu’à ce que les problèmes soient étudiés et parfaitement compris et que des modifications
coûteuses puissent être effectuées sur les grandes flottes d’appareils en service dans le monde.
Au printemps 2008, la FAA (Federal Aviation Administration8 ) a interdit de vol un grand
nombre d’appareils, ce qui a coûté aux compagnies aériennes des millions de dollars et a
risqué d’affaiblir l’économie Américaine [Crawley 2008]. Cela montre la difficulté des arbitrages
nécessaires à l’équilibre entre le maintien des objectifs économiques d’une industrie aérienne
limitée en moyens financiers et le fait de prendre toutes les précautions de sécurité possibles.

Accident d’un vol Alaska Airlines

En janvier 2000, un vol MD-83 opéré par Alaska Airlines a perdu un de ses systèmes critiques de
contrôle et s’est écrasé dans l’océan à proximité des côtes Californiennes, tuant 88 personnes à
bord. La récupération des composants de l’appareil a révélé un défaut de boulon lié à une érosion
anormalement élevée. Si des questions persistent concernant la conformité des opérations de
maintenance réalisées, on peut s’interroger également sur les nombreux délais approuvés et accordés
par le régulateur entre ces opérations de maintenance.

L’accident d’Alaska Airlines est un exemple utilisé par Sidney Dekker [Dekker 2005] pour
montrer que le processus de construction des règles est, en soi, un processus d’essai et d’erreur
imparfait. À l’origine, les calculs des intervalles de temps entre les opérations de maintenance
avaient été des estimations faites par des ingénieurs, avec une marge de sécurité intégrée.
Ces intervalles se sont petit à petit allongés, et ceci sur plusieurs années, si bien que chaque
extension prise individuellement ne semblait pas significative, mais une comparaison avec normalisation de la
l’intervalle d’origine aurait dû attirer l’attention. Ce « glissement progressif vers la défaillance » déviance
[Snook 2000] montre bien à quel point nous « normalisons la déviance » [Vaughan 1996] en
acceptant de dévier un tout petit peu à chaque fois et en prenant cette nouvelle situation comme
normale, comme référence, sans regarder à quel point on s’est éloigné de l’état d’origine. Nous
continuons à repousser les frontières de la performance étant donné que nous ne savons pas
à quel point « sûr » est « assez sûr »… Nos règles ne sont pas parfaites et quelque chose qui
est sûr dans certaines conditions ne l’est pas forcément dans d’autres (par exemple, pourquoi
est-ce qu’un seul des appareils d’Alaska Airlines s’est-il écrasé de cette manière, alors que la
maintenance se déroule de la même manière pour l’ensemble de la flotte ?). La sécurité est
une cible mouvante et nous cherchons à nous adapter ou à réécrire les règles pour rester dans
la ligne de mire, mais on tire toujours en aveugle. Cet exemple remet en cause l’hypothèse règles ≠ sécurité
selon laquelle suivre les règles est une garantie de sécurité. De manière similaire, l’accident
de Challenger démontre comment un accident peut arriver même lorsque l’on opère dans le
cadre strict des règles, puisque la décision de décoller malgré les avertissements des ingénieurs,
résultait du suivi de la procédure de prise de décision de la NASA9 [Vaughan 1996].

Accident de Tenerife

En mars 1977, sur l’île espagnole de Tenerife, un KLM 747 a tenté de décoller dans le brouillard,
avant qu’un Pan Am 747 ait quitté la piste de décollage. Les deux appareils sont entrés en collision,
causant la mort de 583 personnes. Ce fut l’accident le plus mortel de toute l’histoire de l’aviation.

Cet accident emblématique a eu lieu entre deux appareils fonctionnant bien, bien entretenus,
avec à leur bord des équipages très compétents, opérant dans des conditions météorologiques
correctes dans les limites des normales. Cet accident a soulevé des questions concernant la
compréhension que l’on avait de la sécurité à cette époque. En effet, la sécurité était considérée
comme la somme de composants indépendants du système :
Appareil sûr + équipage bien entraîné = sécurité

8 Organisme gouvernemental chargé des réglementations et des contrôles concernant l’aviation civile aux États-Unis.
9
National Aeronautics and Space Administration.

25
Facteurs socioculturels du REX

redéfinir la sécurité On pensait qu’un tel accident ne pourrait jamais arriver tant qu’il n’y avait pas de défaillance
ou de dysfonctionnement de quelque chose qui, à cette époque, était connu pour jouer un
rôle dans le maintien de la sécurité du système (en ce temps, le concept de Crew Resource
Management 10 n’existait pas ; KLM l’a créé à la suite de cet accident).
Ce ne sont pas seulement les accidents, les tragédies qui démontrent les limites de l’approche
actuelle de la sécurité en aviation. Au cours des présents travaux, nous avons été régulièrement
confrontés au paradoxe qu’il y a à devoir justifier notre approche en terme de bénéfices
quantitatifs, alors qu’un de nos principaux messages est que la sécurité est un construit social
qui ne peut être mesuré.

Un exemple plus proche de notre quotidien

Un manager sécurité d’une compagnie aérienne et un ingénieur d’un fabriquant d’équipements


nous ont expliqué qu’ils ne savaient pas comment initier et justifier les démarches facteurs humains
dans leurs entreprises respectives. La politique en place dans leurs sociétés dicte que toute demande
de changement doit être appuyée par de la documentation présentant l’analyse coûts-bénéfices. Si
l’on ne peut pas démontrer pour le cas en question que les bénéfices seront supérieurs aux coûts,
aucun changement ne recevra d’approbation. Ils en ont donc retenu qu’il n’y avait pas de raison
d’essayer de changer, à moins que le changement ne soit demandé par le régulateur.

réalité économique En niant pratiquement tout ce qui ne peut être mesuré ou compté, cette structure de manage-
ment et de prise de décision ne favorise que l’aspect quantitatif. Si elle est bien adaptée à une
survie économique à court terme, en revanche, elle exclut par défaut tout travail important
dans des domaines tels que les facteurs humains et organisationnels de la sécurité (étant
donné qu’avant tout, la sécurité ne peut être objectivement définie, et encore moins mesurée).
Ceci montre à quel point une approche quantitative, positiviste de l’environnement opération-
nel existant peut stopper les compagnies aériennes dans leur progression vers davantage de
sécurité.
Il s’avère indispensable de continuellement mettre à jour, soumettre à révision et revalidation
la science sur laquelle s’appuient les activités de l’industrie aérienne. La nature du travail et
l’industrie elle-même ont considérablement évolué au cours des quelques dizaines d’années
que compte l’histoire du transport aérien commercial. Puisque des disciplines d’étude telles
que les Facteurs Humains, l’interaction homme-machine, les sciences de la sécurité, existent
uniquement pour comprendre et donner un cadre aux pratiques industrielles, il semble évident
qu’elles doivent évoluer pour demeurer pertinentes. Nous avons de plus assisté à des change-
ments considérables dans les sciences sociales (e.g. psychologie cognitive et organisationnelle,
sociologie etc.), ce qui pourrait influencer ou refléter l’évolution dans des domaines interdisci-
plinaires comme les Facteurs Humains.
Ainsi, la communauté scientifique et industrielle doit être capable de rafraîchir, renouveler
et réévaluer son corpus de connaissances sur une base régulière. Une partie de ce processus
questions consiste à retourner le miroir sur soi-même, non seulement pour examiner son propre savoir
épistémologiques actuel, mais aussi pour vérifier que l’on s’approprie bien les méthodes utilisées pour aller vers
cette connaissance ; un exercice de réflexion épistémologique en somme.

2.2 Cartographie des croyances sur la sécurité dans le domaine de l’aviation


Notre recherche a pour objectif de cartographier le paysage des convictions, des idées reçues,
des croyances de base sur la sécurité présentes chez le personnel de différents sous-secteurs
recensement des de l’aviation. Par ce recensement, nous voulons rendre explicites les hypothèses sur la sécurité
idées reçues auxquelles les gens se réfèrent implicitement, et montrer dans quelle mesure ils y croient dans
le cadre de leur travail.

10
Formations dans l’aviation civile qui se focalisent sur le fonctionnement des équipages considérés comme des
groupes homogènes et non seulement une juxtaposition de travailleurs compétents individuellement.

26
2.2. Cartographie des croyances sur la sécurité dans le domaine de l’aviation

2.2.1 Méthodologie et apports attendus de l’étude


Cette étude a débuté par une revue de certains des principaux thèmes traités par la littérature
récente sur la sécurité, littérature qui questionne les hypothèses tacites sous-tendant les
pratiques existantes. Cette revue de la littérature devrait ouvrir la discussion sur le changement
de paradigme (la remise en question de certains dogmes, l’apparition de nouveaux concepts),
sur la complexité inhérente aux modèles organisationnels de la sécurité et sur de nouvelles
approches comme l’ingénierie de la résilience11 . S’il est indéniable que les choses changent, la
ligne directionnelle que prennent ces changements n’est, à ce jour, toujours pas clairement
définie. Cette étude bibliographique devrait donc également aider à créer le consensus et à
donner une image plus précise de la trajectoire scientifique suivie par nos travaux.
L’étude porte sur quatre des principaux domaines de l’aviation : la conception et la fabrication
d’appareils, les opérations aériennes, la maintenance et la gestion du trafic aérien. Les don-
nées seront collectées au cours d’une enquête d’opinion se présentant sous la forme d’un
questionnaire et d’entretiens.
Vingt entretiens préliminaires ont tout d’abord été réalisés de façon à obtenir un premier entretiens
retour du personnel sur les différents thèmes du questionnaire. Les entretiens ont eu lieu avec semi-directifs
des opérationnels et, dans certains cas, avec des spécialistes des facteurs humains dans les
quatre sous-secteurs concernés, comme des régulateurs et des personnes responsables des
enquêtes accident. Les données de ces entretiens seront utilisées pour renseigner le question-
naire et formuler des hypothèses sur les différents thèmes qu’il aborde. À ce stade de l’étude,
les données seront codées et classées par thème, mais pas encore analysées. Ce premier travail
de terrain permettra de s’assurer que le contenu du questionnaire sera bien ancré dans les pra-
tiques réelles de travail. Cette première étape est d’autant plus importante, qu’elle permet de
s’assurer que le vocabulaire du questionnaire sera clair et compréhensible pour les personnes
participant à l’étude.
Le questionnaire sera adressé principalement au personnel des compagnies aériennes, aux
prestataires de maintenance, aux gestionnaires du trafic aérien et aux fabricants d’appareils et
d’équipements, aussi bien au niveau managérial, qu’à celui des opérateurs de première ligne.
Nous aimerions également obtenir des données de régulateurs, d’investigateurs d’accidents, questionnaire
d’instructeurs de vol, de consultants en facteurs humains, etc. Le questionnaire circulera au couvrant de
sein du consortium HILAS et également via les réseaux professionnels des chercheurs (la liste nombreux domaines
de l’industrie
initiale comporte environ 500 personnes) et nous comptons sur un effet « boule de neige »
pour récolter des échantillons. Le questionnaire se présentera sous une forme électronique
disponible sur un site internet. La cible géographique principale de cette étude est l’Europe,
cependant elle circulera également via des contacts en Amérique du Nord, en Asie et en
Océanie.
Une fois toutes les données collectées, nous effectuerons une analyse statistique des résultats du
questionnaire, ainsi qu’une analyse qualitative de la première série d’entretiens. Les éléments
tels que les facteurs culturels, le type de poste (opérationnel vs management ou autres fonctions
support), le niveau d’éducation, le nombre ou la diversité des expériences professionnelles
ainsi que l’éventuelle implication personnelle dans un accident, seront pris en compte au cours
de l’analyse, étant donné que ces facteurs peuvent aussi influer fortement sur la vision qu’ont
les personnes de la sécurité dans leur environnement de travail.
À partir des résultats du questionnaire, et afin de les discuter plus avant, de nouveaux entre-
tiens seront conduits et des groupes de discussion seront organisés avec des professionnels
de l’aviation des quatre domaines concernés. L’objectif sera alors d’approfondir l’analyse des
différences significatives identifiées entre les sous-secteurs et d’explorer la pertinence des
résultats pour les pratiques réelles de travail. À l’occasion de manifestations dans le monde
de l’aviation, telles que des conférences ou des rencontres où l’on peut espérer une représenta- ateliers interactifs
tion adéquate des professionnels des différents domaines étudiés, les groupes de discussion
prendront la forme d’ateliers. Chaque atelier sera conçu de manière à permettre à la fois au
chercheur de collecter davantage de données et aux participants d’avoir l’occasion de discuter
les résultats des premières phases de l’étude et de bénéficier de l’échange d’idées engendré.
Toutes les données collectées concernant les différents participants seront protégées et res-
teront strictement confidentielles. Toute information sera présentée anonymement (e.g. en

11
« La résilience est la propriété intrinsèque d’un système à ajuster son fonctionnement vis-à-vis des changements
et des perturbations, dans le but de pouvoir maintenir son fonctionnement après une défaillance majeure ou en
présence d’un stress continu », E. Hollnagel.

27
Facteurs socioculturels du REX

combinant les données des différentes sources et en les généralisant à travers les catégories).
Nous avons fait le choix de combiner cet anonymat à une méthode de récupération de données
reposant sur des réseaux informels plutôt que sur une coopération officielle, formelle avec la
compagnie, afin d’étendre la portée de l’étude ainsi que de minimiser les biais et l’autocen-
sure pouvant résulter de l’attitude de personnes essayant de donner une image positive (ou
négative) de leur compagnie.
En fait, contrairement aux études portant sur la culture de sécurité, l’objectif de cette recherche
n’est pas d’évaluer les croyances de chaque individu ou de chaque compagnie en se référant
à des critères spécifiques. S’il est vrai que, d’après notre perspective de recherche, le fait de
non-normatif questionner les croyances traditionnelles est considéré comme un signe positif, nous nous
positionnons tout simplement au niveau de l’observation de la ligne de base. Nous cherchons à
appréhender les réelles convictions ancrées dans les différents secteurs de l’aviation, afin d’ob-
tenir une image plus réaliste du paysage des principes sur la sécurité existant dans l’industrie
aéronautique.
Ce projet de recherche industriel, de par sa nature, a pour but, en expérimentant les théories
académiques dans le monde réel, d’étudier les concepts de sécurité dans le contexte opération-
nel. Une des finalités sera de produire, à partir des résultats obtenus, des documents délivrables
spécifiquement destinés aux professionnels de l’aviation non spécialistes de ces sujets. L’un de
ces documents sera une sorte de manuel qui expliquera brièvement les concepts, présentera
des exemples concrets montrant que ces hypothèses peuvent s’avérer fausses en pratique et
expliquant, en termes opérationnels, pourquoi certaines convictions peuvent être dangereuses.
Le manuel fournira également des références bibliographiques pour les personnes intéressées
par une approche plus approfondie des différents thèmes. Le manuel sera à la disposition de
tous les participants à l’étude et des partenaires du projet de recherche qui le souhaitent.
Ce travail offre une contribution intéressante étant donné qu’il existe peu de documents de ce
type que les opérationnels semblent trouver utiles. De plus, une session de groupe interactive
se tiendra avec des représentants des différents secteurs de l’aviation pour discuter de ces
hypothèses et de leurs implications. L’un des objectifs de cet atelier sera d’enseigner, de créer
le consensus et de comprendre. Ces contributions, en parfaite adéquation avec l’esprit d’une
thèse industrielle, constituent autant de modestes efforts pour faire le lien entre académie et
industrie.

2.2.2 Limites inhérentes à l’étude


De par leur nature, les études sur les attitudes humaines présentent certaines limites : les
attitudes ne sont pas des choses observables fixes, stables, mais bien au contraire subjectives
et changeantes.
Nous nous devons de reconnaître les limites de nos techniques de mesure, mais il n’existe pas de
méthode parfaite. Ed Hutchins, un ethnographe bien connu pour ses études de terrain, explique
enquête d’opinion que les personnes qui aiment les expériences de laboratoire critiquent souvent le travail de
terrain à cause des « effets liés à l’observateur ». Hutchins répond à cela que les expériences
de laboratoire sont elles-mêmes entièrement sujettes à ces effets liés à l’observateur, mais que,
puisque l’observateur est partout, il en devient invisible12 … Lors d’une étude comme celle
que nous effectuons, le contact avec le monde empirique n’est pas aussi naturel qu’au cours
d’observations de terrain, cependant, notre méthode prend en compte autant que possible les
validité de la limites des questionnaires que nous avons essayé de concevoir dans une perspective émique 13 .
recherche Nous reconnaissons néanmoins que les réponses aux enquêtes et aux questions des entretiens
ne révèlent pas une vérité absolue : elles nous disent uniquement ce que les gens, et ceci quelles
que puissent être leurs motivations, décident de répondre à nos questions. Après tout, ces
limites sont celles inhérentes à toute investigation scientifique et, malgré leur existence, nous
croyons qu’un traitement réfléchi du sujet peut nous apprendre quelque chose et contribuer,
même de façon modeste, aux avancées dans ce domaine.

12
Ed Hutchins, invité conférence ISAP (International Symposium for Aviation Psychology), 2007.
13
En se plaçant du point de vue (subjectif) de la personne interrogée et non du point de vue d’un observateur extérieur
(perspective étique).

28
2.3. Approches précédentes

2.3 Approches précédentes et changement progressif de perspective sur la sécurité


Dans le monde occidental, la sécurité dans le secteur aérien a apparemment atteint un plateau
relativement stable (cf. Figure 2.1).

Fig. 2.1 – Taux d’accidents et de décès dans la flotte mondiale d’avions à réacteurs (Boeing, 2007).

Il semble que les efforts continus pour progresser soient en parfaite corrélation avec la crois-
sance incessante de cette industrie. Cependant, nous voulons faire mieux. Nous devons faire
mieux, sinon, avec l’augmentation de l’activité aérienne, pour le même taux de fréquence, le niveau de sécurité
nombre d’accidents pourrait devenir inacceptablement élevé. Selon [Amalberti 2006], au delà stabilisé
d’un certain seuil de maturité, un système devient figé ou rigide et ne peut plus s’adapter
continuellement. Le seul moyen de faire changer un système figé pour progresser vers une
plus grande sécurité, est de le briser et de le reconstruire ou de le réinventer d’une façon
nouvelle, de préférence en utilisant le savoir acquis à partir de l’ancien système (cf. Figure 2.2). changement de
Certains chercheurs en sécurité considèrent que l’atteinte du plateau dans la courbe du taux paradigme
d’accidents d’avion, est l’indicateur du besoin d’une telle révolution ; il est temps d’adopter une
perspective différente, d’essayer une approche complètement nouvelle de la compréhension
et du management des risques et de la sécurité [Amalberti 2001, 2006 ; Leveson 2003 ; Pariès
1996, 1999 ; Woods 2006]. Ainsi, nous pourrions être au bord de la transition. David Woods
argumente que ce dont nous avons besoin, correspond à un changement de paradigme.

2.3.1 Le changement en réponse au changement


Nous avons déjà indiqué que les systèmes socio-techniques modernes comme l’aviation sont
très différents de ceux les ayant précédés il y a de cela des dizaines d’années. Il faut en
particulier relever le profond effet qu’ont eu les ordinateurs et les automatismes sur le travail
humain, sur la nature des systèmes sociotechniques et sur la relation entre l’homme et son
travail [Hollnagel et Woods 1983 ; Hollnagel 2004]. Barry Turner et Charles Perrow expliquent à
quel point les systèmes industriels modernes à large échelle diffèrent de ce que les hommes ont
eu à gérer par le passé et pourquoi un besoin de nouvelles façons de penser la sécurité et les
accidents a émergé : nous devons reconnaître que la structure propre de ces systèmes, difficile
à manier, a introduit de nouveaux risques [Perrow 1984 ; Turner 1978]. Les concepts de l’accident
normal et des man-made disasters ont représenté une bifurcation radicale de la pensée de
l’époque, qui illustre la bêtise qu’il y a à attendre une sécurité parfaite d’un système dangereux
par nature, opérant dans un monde imparfait et sous contraintes. Le modèle de l’espace de
sécurité dynamique de Rasmussen a rompu avec la tradition de modélisation des facteurs
humains en considérant les effets des contraintes du monde réel, comme l’économie, sur les
frontières de la zone de fonctionnement du système [Rasmussen 1997]. Le caractère unique de
ce modèle réside également dans le fait qu’il décrit le comportement du système émergent
plus que celui des opérateurs individuels, et qu’il montre comment des opérations normales
peuvent progressivement dévier vers l’échec en absence d’erreurs ou de pannes majeures.

29
Facteurs socioculturels du REX

Fig. 2.2 – Évolution de l’acceptabilité du risque au cours du cycle de vie des systèmes [Amalberti 2006, p.253].

2.3.2 Les concepts de sécurité du passé, du présent et du futur


Pour replacer cette discussion dans son contexte et afin d’obtenir une vue d’ensemble des
caractéristiques de notre paradigme de sécurité en transition, regardons l’évolution chrono-
logique des concepts facteurs humains et des modèles d’accident. Dans le tableau présenté
(cf. Tableau 2.1), nous décrivons certains des concepts de facteurs humains et de sécurité
évolution des FH selon leur évolution au cours du temps. Cela correspond approximativement à la durée de
vie de la discipline Facteurs Humains dans l’aviation. Dans la littérature, certains auteurs
font référence à trois types différents de modèles d’accident que nous pouvons utiliser pour
encadrer chronologiquement notre caractérisation :
 les modèles simples linéaires du passé ;
 les modèles épidémiologiques actuels ;
 les modèles systémiques complexes du futur.

Les limites entre ces phases ne sont pas distinctes, elles sont au contraire plutôt floues. En
effet, par exemple, les travaux sur les modèles complexes ont commencé il y a plus de vingt
ans ; pourtant, ce sont les modèles épidémiologiques qui prévalent toujours dans l’industrie
de nos jours. Dans cette partie de la discussion, nous nous référons à l’état de l’art dans la
sphère opérationnelle. Le futur est encore incertain et doit encore être défini. Cependant, nous
décrivons ici la tendance que nous observons et les attentes de beaucoup de personnes dans
l’académie autant que dans l’industrie. Le tableau (cf. Tableau 2.1) décrit les trois périodes
différentes selon plusieurs critères.
Parmi ces critères, on trouve en premier lieu le type d’accident ou de modèle de sécurité
utilisé pour comprendre les événements ainsi que la vision des accidents et la perspective plus
large du système qui y correspond. WYLF (IWYF) se réfère au fait que « What You Look For
(Is What You Find) », c’est-à-dire « Ce que l’on cherche (est ce que l’on trouve) », qui décrit le
caractère « auto-réalisateur » (ou « effet Pygmalion ») qu’il y a à utiliser des modèles. En effet,
les modèles définissent ce qui est significatif et ainsi déterminent ce qui peut être découvert.
Nous décrivons ensuite l’axe scientifique qui est le point d’intérêt, que ce soit en termes de
compréhension scientifique et/ou de d’interventions sur le système. Le mécanisme de chan-
gement et les moyens d’intervention pour améliorer la sécurité, sont liés aux découvertes
basées sur le modèle utilisé. Le paradigme de sécurité dominant, ainsi que la philosophie
scientifique sous-jacente sont décrits en termes généraux.

30
2.3. Approches précédentes

Période Passé Présent Futur (probable)


Modèle Séquentiel Épidémiologique Systémique
Accidents Simple, linéaire Complexe, linéaire Complexe, non-linéaire
Système Cartésien, mécaniste, Cartésien, mécaniste, Systémique, complexe,
décompositioniste, décompositioniste, écologique
Newtonien, simple Newtonien, plus
complexe
WYLF(IWYF) Causes, liens de cause à Erreurs latentes et Couplages ; résonance ;
effet actives perte de contrôle
Focus scientifique Composants les plus Composants les plus Ensemble situés,
proches éloignés et les plus intégrés ; émergence
proches
Action de Réponse réactive Attention proactive Anticipation proactive
changement
Intervention Prévention des erreurs Prévention des erreurs Maintien du contrôle ;
et récupération Building in slack 14
Paradigme de Normatif Normatif avec quelques Rationalité locale,
sécurité autorisations pour constructionniste
facteurs atténuants
Philosophie Positiviste Positiviste avec un peu Post-moderne,
scientifique de scepticisme socio-constructionniste

Tab. 2.1 – Concepts de sécurité et modèles d’accident à travers le temps.

Les types de modèles utilisés, que cela soit dans le passé ou même de nos jours sont, pour
la plupart, des modèles d’accidents ou d’événements indésirés, donc, pour parler de façon
générale, on peut s’y référer comme à des modèles d’accidents. Plus récemment, nous avons
vu émerger le besoin de modéliser également le succès ; c’est pourquoi à l’avenir, l’objectif
devrait être la performance et les modèles de sécurité.
[Hollnagel 2004] identifie trois principaux types de modèles d’accident :

 séquentiel (comme par exemple des chaînes d’erreurs ou d’événements) ;


 épidémiologique (comme le Swiss Cheese Model, modèle du fromage suisse [Reason 1990]) ;
 systémique.

Il explique que les modèles plus simples du passé peuvent ne pas être appropriés pour com-
prendre les systèmes modernes complexes [Hollnagel 2004, p.67]. Certains modèles systémiques
sont en cours de développement, mais aucun d’eux n’est encore vraiment reconnu à ce jour.
On peut citer par exemple SaMBA15 [Bieder et Pariès 2003 ; Pariès et Bieder 2003], STAMP16
[Leveson 2002] et FRAM17 [Hollnagel 2004].
Les modèles associés à chaque ère reflètent la vision que l’on a de la façon dont les accidents
arrivent. Initialement, ils étaient investis et traités comme une simple chaîne linéaire d’événe-
ments. Cela a évolué en portée et en niveau de détails pour inclure des facteurs plus complexes
et plus lointains, tout en restant linéaire de nature. La vision future des accidents sera celle de
l’émergence non-linéaire ou de la résonance stochastique dans un système complexe, plutôt
que de liens de causalité directs.
Cette évolution de la vision des accidents témoigne du changement de perspective du système.
Au départ, l’on considérait un ensemble simple, mécaniste d’éléments indépendants avec
des relations proportionnelles (i.e. Newtoniennes) entre cause et effet. Dans cette optique, le
composant humain est envisagé comme n’importe quel autre élément de la machine, une

14
Ajouter du « mou »
15
Safety Model Based Analysis.
16 Systems-Theoretic Accident Model and Processes.
17
Functional Resonance Accident Model.

31
Facteurs socioculturels du REX

vision du système dent de l’engrenage. La cognition humaine était considérée comme étant gouvernée par les
mêmes lois que les machines, et, plus tard, que les ordinateurs. Progressivement, en allant plus
profondément dans le détail et plus largement en portée, la vision du système est devenue
de plus en plus complexe, élargissant ses frontières définies pour inclure les aspects organisa-
tionnels et reconnaissant que la performance humaine suit un ensemble de lois plus élaborées.
Cependant, cette vision a conservé la perspective mécaniste de base, essayant d’isoler un
modèle de fiabilité humaine conforme à la séparation dualiste cartésienne de la performance
des gens et des composants matériels du système.
Les optiques « futures » rejettent ce point de vue mécaniste en faveur d’une perspective sys-
témique. Elles cherchent à comprendre le système comme un tout organique ou écologique
interconnecté au sein duquel le comportement humain est fixé. Cette perspective exclut la com-
préhension par la décomposition seule, puisque les relations entre les parties du système sont
non-linéaires et pourraient être émergentes plutôt que proportionnelles au sens Newtonien
du terme.
« Ce que l’on cherche est ce que l’on trouve », les résultats de chaque enquête de sécurité sont
WYLFIWYF donc déterminés par la vision du système et le modèle d’accident que l’on a. Ceci est étroitement
lié à l’optique scientifique de l’époque, l’objet d’étude de la communauté scientifique, à la fois
reflète et influence la pratique opérationnelle. Les enquêtes sur les accidents dans l’aviation ont
progressivement rejeté la recherche d’une simple cause impliquant des éléments proches de
l’accident dans l’espace et dans le temps. La pratique actuelle consiste à chercher, à comprendre
et à corriger la concaténation18 de multiples « Facteurs contributeurs », qui s’étendent au delà
de l’accident dans l’espace et le temps. Certains chercheurs intrépides reconnaissent qu’il est
subjectif d’établir des « causes » dans un système étroitement couplé et que des événements
non-désirés peuvent apparaître même sans aucune « erreur » objective dans le système. Ils
se focaliseraient ainsi plutôt sur le système en lui même, considéré comme un tout, sur la
nature de ses couplages, la résonance des variations de performance à l’intérieur des limites
normales, ou les effets émergents du travail normal.
La capacité de l’aviation commerciale à travers le monde est énorme, et cette industrie est
devenue si mature que la majorité du public considère qu’une sécurité quasi-parfaite va de
soi. Les accidents sont l’exception plutôt que la règle et sont considérés comme inacceptables
à différents niveaux ; c’est pourquoi l’idéal est de mettre en place des mesures de sécurité
proactives. Plutôt que de réagir aux erreurs et aux échecs comme nous le faisions dans le passé,
nous sommes maintenant à la recherche de manières d’anticiper les problèmes et de garder le
contrôle du système.
Le paradigme de la sécurité prescriptif et normatif du passé et du présent a induit une gestion
des facteurs humains de la sécurité majoritairement axée sur le management des erreurs et
l’adhésion à des procédures. Cependant, de nos jours, la reconnaissance de l’influence du
contexte de travail (social autant que physique) sur le comportement humain, en combinaison
violation de avec la nature subjective de la sécurité même, entraîne un changement progressif de paradigme.
procédure Il est de plus en plus reconnu qu’au cours de son travail, le personnel est régulièrement amené
à « violer » les procédures officielles. Les opérationnels réconcilient les objectifs conflictuels
et gèrent l’inattendu en se comportant d’une manière qui, à leur niveau local, leur apparaît
rationnelle.
La définition de ce qui est « sûr » dépend de la façon dont on regarde le système : à quel niveau
de détail, sur quelle échelle de temps, mais aussi de la perspective de la personne qui le regarde.
Le nouveau paradigme reflète cette subjectivité et prend en considération la résolution des
conflits selon une perspective socio-constructiviste. Ce paradigme ne peut pas exister au sein
d’un cadre scientifique positiviste dans lequel les processus mentaux et les artefacts comme
les « erreurs » et les « causes » sont traités comme des éléments objectifs et mesurables. Il
devient ainsi nécessaire de se tourner vers une perspective moderniste capable d’accepter les
concepts socio-constructivistes.
En regardant notre tableau du haut vers le bas (cf. Tableau 2.1), on constate que changer
de perspective sur un seul élément peut conduire de manière logique à des investigations
métaphysiques, à questionner les hypothèses fondamentales qui sont la colonne vertébrale
des approches actuelles de la sécurité. Il n’est pas possible d’éviter les conflits philosophique
et épistémologique qui accompagnent cette réflexion. On peut ainsi aisément comprendre
que cette démarche soit difficile à engager, en particulier pour une industrie si bien établie et
standardisée à l’échelle internationale.

18
Série d’éléments interconnectés ou indépendants.

32
2.3. Approches précédentes

2.3.3 Caractérisation du paradigme existant


Effectuer des changements dans des systèmes matures est difficile et coûteux [Amalberti 2006],
et introduire des inconnues peut sembler plus dangereux que de ne rien faire. Cependant, ne
rien faire alors que l’industrie continue à se développer n’est bien sûr pas acceptable non plus ; changer, c’est
c’est la force d’impulsion de cette recherche. Vers la fin du siècle dernier, certains auteurs risqué…
ont proposé des caricatures du paradigme existant. Ces auteurs présentent des arguments
logiques, qui, associés à des preuves empiriques, démontrent qu’il est nécessaire de rejeter les
hypothèses existantes et de redéfinir le paradigme de la sécurité dans un cadre scientifique
post-moderniste.

2.3.4 Adopter une méta-perspective : retourner le miroir sur soi


Selon David Woods, ce dont les organisations et les chercheurs ont réellement besoin, c’est
d’examiner leurs stratégies à un méta-niveau, de se demander si le « modèle qu’ils ont du
monde reflète vraiment le monde dans lequel ils sont »19 . Continuer à gérer le travail en
utilisant des modèles inadéquats basés sur des hypothèses discutables (e.g. un modèle normatif
qui suppose que les personnes ne dévient jamais des procédures) ne conduit qu’à des prises
de décisions inappropriées et des tentatives d’intervention peu adaptées (e.g. faire l’inventaire
des déviations à la norme plutôt que comprendre pourquoi les gens choisissent ou ont besoin organisation
de contourner les procédures). Une véritable organisation apprenante va considérer que ses apprenante
modèles sont défectueux et que sa capacité à répondre est imparfaite, et, par conséquent, va
chercher à le démontrer [Rochlin 1999]. Comme nous l’avons mentionné en introduction de
cette section, ceci nécessite d’adopter une méta-perspective qui s’étend aux Facteurs Humains
ainsi qu’à la communauté de la recherche en sécurité, puisque c’est là que l’industrie détecte
la plupart de ses signaux : la recherche fournit des modèles et des approches qui forment la
base des méthodes de travail, des outils et des formations.
Notre travail de recherche vise à résumer certaines de ces méta-analyses et à illustrer une
partie du fossé qui existe entre la théorie et la pratique en cartographiant les attitudes et les
croyances des professionnels de l’aviation.

2.3.5 Travaux précédents sur les hypothèses de sécurité et le changement de paradigme


Sidney Dekker a publié un ouvrage intitulé Ten questions about human error : A new view of
human factors and system safety 20 [Dekker 2005] dans lequel il présente et réfute beaucoup
d’hypothèses et de principes fondamentaux qui prévalent en sécurité aérienne. Il s’attaque à vision nouvelle des
ces hypothèses en utilisant des arguments théoriques et des références à d’autres écrits, autant FH
que des exemples issus de situations réelles dans l’aviation.
Nous présentons ici un résumé des questions et des hypothèses soulignées dans ce livre.
Était-ce une défaillance technique ou une erreur humaine ? Le langage utilisé en aviation
et la perspective imposée par ce langage représentent une vue technique du monde de plus en
plus obsolète. Les caractéristiques définissant ce langage sont la déconstruction (Cartésien),
le dualisme et le structuralisme. Le langage utilisé pour décrire le travail à l’intérieur des
systèmes est un langage de structure et de mécanique. Une réalité sociale profondément
complexe se trouve ainsi réduite à un nombre limité de composants mesurables faisant montre
d’interactions et de comportements mécaniques. vision inexacte du
système
Cette vision du monde considère les systèmes socio-techniques comme des machines dont
les parties sont arrangées de manière particulière (les opérateurs de première ligne, à la
pointe du problème (“sharp end”) vs les acteurs en amont, le management avec une vision
moins pointue mais plus large, des barrières de défense en profondeur), avec des interactions
particulières (trajectoires, effets domino, déclics initiateurs) et un mélange de variables qui
sont indépendantes ou qui interviennent (la culture du blâme vs la culture de sécurité). On
peut émettre un doute quant au fait que cette vision structuraliste, mécaniste des systèmes
socio-techniques est toujours appropriée pour faire de réels progrès dans la sécurité.
Pourquoi est-ce que les systèmes sûrs échouent ? L’étiologie des accidents dans les sys-
tèmes « ultra-sûrs » est fondamentalement différente de celle des incidents dans ces mêmes

19 Woods, Communication personnelle (2004).


20
« Dix questions sur l’erreur humaine : Une vue nouvelle sur les facteurs humains et la sécurité du système ».

33
Facteurs socioculturels du REX

systèmes ou de celle des accidents dans des systèmes moins sûrs. Dans les systèmes « ultra-
sûrs », les accidents, plutôt que d’être la conséquence d’échecs, d’erreurs flagrantes etc. arrivent
au cours du travail normal et sont souvent précédés d’une dérive par rapport à la pratique
(sûre) établie.
Pourquoi les savants sont-ils plus dangereux que les propriétaires d’armes ? Lorsqu’ils
utilisent des outils d’observation pour mesurer les « erreurs », les Facteurs Humains adoptent
une position réaliste : cette position présume que le « monde ici-bas » est réel, objectif, avec
des traits caractéristiques vérifiables qui peuvent être observés, catégorisés et prédits. Cet
usage de la quantification, de la classification et de la taxonomie est simplifié à l’extrême et
quantification mal trompeur. Compter les erreurs maintient une illusion de rationalité et de contrôle, mais ne
orientée peut offrir ni réelle perspicacité, ni directions productives pour progresser en sécurité. Les
« erreurs » étant épistémologiquement élusives et ontologiquement relativistes, la notion de
« sécurité » peut, de manière similaire, manquer d’un dénominateur commun dans le « monde
ici-bas ».
La sécurité ne concerne probablement pas uniquement la mesure et le management des
éléments négatifs (les erreurs). En fait, la sécurité est un « concept humain construit », un
projet réflexif et dynamique. Cela signifie que les chercheurs en Facteurs Humains doivent
sécurité ≠ gestion développer des sondes totalement nouvelles pour « mesurer » la santé de la sécurité d’une
des évènements organisation. En clair, le but que nous devons poursuivre n’est pas le simple contrôle de la
négatifs sécurité, mais le contrôle de ce contrôle.
Les erreurs existent-elles ? Les erreurs sont des constructions sociales, elles sont une sorte
d’explication post-hoc ou bien une histoire révisée sur la base de biais rétrospectifs, des
événements négatifs. L’« erreur » paraît réelle à celui qui l’expérimente, mais cela ne signifie
pas que l’erreur existe « ici-bas » au sens objectif du terme. Ces manières d’apprendre (ou
non) des événements, ces interprétations, ces biais rétrospectifs, ne sont d’aucune utilité pour
faire progresser la sécurité.
Si vous perdez la conscience de la situation (situation awareness ou SA), qu’est-ce qui
la remplace ? Du point de vue d’une personne extérieure réfléchissant après la bataille, une
explication s’appuyant sur « conscience de la situation déficiente » peut apparaître comme
évidente : « Ils ne savaient pas ou ne voyaient pas », « Ils auraient dû remarquer ceci ou faire
cela ». Cependant, du point de vue des gens au cœur de la situation, ces déficiences n’existent
sensemaking, pas pas au sens réel ; ce sont des artefacts rétrospectifs. Pour comprendre pourquoi une personne
SA fait ce qu’elle fait, nous devons regarder le monde selon sa perspective. Plutôt que d’interpréter
le cas d’une « perte de conscience de la situation » (une approche normative qui juge les gens
pour ne pas avoir vu ce que nous, avec notre omniscience rétrospective, aurions vu), il y a
davantage de poids explicatif dans l’analyse des actions de l’équipage comme des processus
normaux de sensemaking 21 .
Pourquoi est-ce que les opérateurs font montre d’excès de confiance ? Dans leur effort
pour expliquer un comportement complexe tout en le connectant au travail appliqué, les
Facteurs Humains pourraient se desservir eux-mêmes en inventant et en utilisant de manière
non-critique des « folks models »22 . Ces folks models, par exemple le fait de se reposer sur
le système par excès de confiance, par facilité et la « conscience de la situation », laissent
sous-documentées les affirmations sur la réalité empirique ; les personnes extérieures ne
disposent ainsi pas de traces pour le suivi et la critique. Pour cette raison, les explications
basées sur ces modèles ne sont pas falsifiables et ne sont souvent que des tautologies incapables
d’offrir des explications plus profondes de la situation.
Les Facteurs Humains, en tant que discipline appliquée, doivent produire des éléments utiles
à la communauté opérationnelle. En ce sens, les folks models peuvent apparaître comme un
pont extrêmement pratique entre le fondamental et l’appliqué, entre communauté scientifique
et communauté opérationnelle. Les termes comme « conscience de la situation » permettent
aux deux communautés de parler le même langage. Cependant, un tel partage conceptuel
présente le risque de se contenter d’une validité superficielle. À long terme, cela peut nuire aux
Facteurs Humains ainsi qu’aux opérationnels. Si nous utilisons des modèles qui n’articulent
pas les mesures de performance qui peuvent être utilisées dans des contextes opérationnels
pertinents, nous n’avancerons pas dans la compréhension des sources de succès et d’échecs
opérationnels.

21 Littéralement « Fabriquer du sens ». Cette notion sera explicitée dans le quatrième chapitre de ce cahier.
22
Folks models : modèles s’appuyant sur la sagesse populaire, de l’ordre du proverbial.

34
2.3. Approches précédentes

Pourquoi ne suivent-ils pas les procédures ? Avec du recul, après un accident, les violations
de règles semblent jouer un rôle causal prédominant. Les études continuent à donner comme
conclusion fondamentale que les accidents sont précédés de violations de procédures. En fait,
attribuer un rôle de cause ou de contribution aux violations de procédures dans les accidents,
en dit plus sur nous, sur les modèles que nous suivons et sur les biais que nous introduisons
en analysant la séquence d’événements a posteriori, que sur les personnes effectuant le travail
réel à ce moment là.
Ne pas suivre les procédures n’est pas forcément source de problèmes et, en amont d’une procédures ≠
situation sûre, on peut retrouver autant de déviations de procédures qu’en amont d’un accident. sécurité

Ces modèles de procédures nous guident quant à la façon dont les organisations pensent
progresser sur la sécurité :
 les procédures représentent la façon la mieux réfléchie, et par conséquent la façon la plus
sûre, de réaliser une tâche ;
 le suivi de procédures se réduit essentiellement à une activité cognitive basée sur des
règles de type précondition implique action ;
 la sécurité est le fait de gens qui suivent les procédures ;
 pour progresser en sécurité, les organisations doivent s’assurer que les gens connaissent
et suivent les procédures.
Suivre les procédures peut également aller à l’encontre de la sécurité. Voici quelques exemples
où l’on note que suivre aveuglément les procédures peut entraîner des problèmes. Dans
certains cas, les gens se trouvent confrontés à un choix entre suivre la procédure ou survivre.
La sécurité n’est donc pas forcément le résultat d’une application à la lettre des règles ; la
sécurité résulte de la capacité des personnes à analyser de façon pertinente les caractéristiques
de situations exigeant certaines actions, de leur adresse à trouver et à exploiter un éventail de
ressources (parmi lesquelles des guides pratiques) pour atteindre leurs objectifs. Ceci suggère
un second modèle sur les procédures et la sécurité :
 les procédures représentent des ressources pour agir ; les procédures ne spécifient pas
toutes les circonstances dans lesquelles elles s’appliquent ; les procédures ne dictent pas
leur propre application ;
 appliquer les procédures avec succès dans différentes situations peut représenter une
activité cognitive poussée qui nécessite une grande expérience ;
 les procédures ne peuvent pas, d’elles-mêmes, garantir la sécurité ; la sécurité résulte
de la faculté des gens à juger quand et comment ils doivent adapter les procédures aux
circonstances locales ;
 pour progresser en sécurité, les organisations doivent surveiller et comprendre les raisons
des écarts de procédures ;
 de plus, les organisations doivent développer des moyens d’encourager la capacité des
gens à juger quand et comment s’adapter.
Beaucoup d’organisations ou d’industries ne savent même pas, ou ne veulent pas savoir (ou,
pour des raisons légales ou autres, n’ont pas les moyens de savoir) qu’il existe un fossé entre
les procédures et la pratique.
Une des raisons majeures expliquant les écarts de procédures routiniers, est la nécessité fossé entre
d’atteindre plusieurs objectifs simultanément. Or, la multiplicité et la concomitance des buts procédures et
poursuivis peuvent conduire à des conflits. La capacité des personnes à arbitrer entre ces pratiques
pressions diverses et à juger du suivi des procédures, dépend en grande partie de leur histoire
et de leur expérience ; il est impossible de spécifier ces paramètres en utilisant quelque moyen
normatif que ce soit.
Peut-on utiliser l’automatisation pour éliminer l’erreur humaine ? Selon une croyance
populaire, automatiser une tâche de façon à ce que l’homme n’aie plus à la réaliser écarte toute
possibilité d’erreur humaine. Cependant, en réalité, l’automatisation modifie l’expression de
l’expertise et de l’erreur ; elle fait varier la façon de bien faire des personnes ainsi que la façon
dont leur performance peut s’effondrer. L’automatisation change également (et en réalité mythe de
souvent limite) les occasions de récupérer après une erreur, et peut retarder les conséquences substitution
visibles des erreurs. Ainsi, plutôt que de conduire à une sécurité parfaite, l’automatisation a
amené de nouvelles formes de pannes de coordination et d’accidents.

35
Facteurs socioculturels du REX

Le système deviendra-t-il sûr ? Lorsque l’on étudie le comportement des hommes engagés
dans un travail complexe, les apports des études quantitatives sont limités. Nous ne pouvons
pas accorder une confiance aveugle aux chiffres puisque souvent, nos méthodes de mesure
et de calcul sont de qualité discutable. Les Facteurs Humains ont besoin de réexaminer leur
approche. Nous devons assurer la validité et la valeur ajoutée de nos méthodes quand nous
évaluons la « sécurité » de concepts et conceptions futurs.
Devrions-nous tenir les gens pour responsables de leurs fautes ? La croyance commune
veut que ce soient la responsabilité individuelle, la menace des sanctions au niveau individuel
ou au niveau de la société qui garantissent que le personnel va agir d’une façon éthique et
responsabilité responsable. Pourtant, la culture du blâme ne contribue pas à la sécurité. Progresser en sécurité
signifie aller au delà du blâme parce que généralement, on se focalise sur les défauts supposés
des opérateurs individuels et l’on nie l’importance des contributions systémiques. De plus,
le blâme entraîne tout un tas d’effets secondaires négatifs. Typiquement, recourir au blâme
conduit à l’adoption de postures défensives, à la rétention d’information, au protectionnisme,
à la polarisation et à des systèmes de reporting qui deviennent muets.
Erik Hollnagel a présenté deux visions opposées du système lors de son intervention à l’ISAP
(International Symposium for Aviation Psychology) en avril 2007 :
 ancienne vision, système fermé, optimisme technologique :
• les hommes sont une charge, voire une menace ;
• la variabilité nuit à la sécurité et à l’efficacité ;
• la conception devrait limiter le degré de variation possible ;
• les choses se passent bien parce que :
* les systèmes sont bien conçus et entretenus scrupuleusement ;
* les procédures sont complètes et correctes ;
* le personnel se comporte comme on attend qu’il se comporte (de la façon dont
on lui a appris) ;
* les concepteurs peuvent prévoir et anticiper toutes les contingences.
 nouvelle vision, vision ouverte, réalisme technologique :
• les hommes sont un capital ;
• les hommes sont nécessaires au bon fonctionnement des systèmes techniques.
• les choses se passent bien parce que les personnels :
* apprennent à surmonter les défauts de conception et les pépins fonctionnels ;
* adaptent leur performance aux exigences ;
* interprètent et adaptent les procédures en fonction des conditions ;
* peuvent détecter et corriger quand les choses vont mal.
Jean Pariès a fait une présentation similaire lors d’un séminaire Facteurs Humains et Sécurité
chez Messier Dowty, une société qui fait de l’ingénierie, de la fabrication et de la maintenance
de composants d’avions (Octobre 2006) :
 l’approche normative de la sécurité dit que le système est sûr parce que nous :
• spécifions le processus de travail ;
• anticipons toutes les situations de travail ;
• automatisons ce qui peut être automatisé ;
• spécifions chaque détail de « bon » comportement ;
• sélectionnons les « bons » profils d’opérateurs ;
• entraînons les opérateurs à suivre les procédures ;
• blâmons les contrevenants.
 mais en fait les règles et les procédures :
• ne peuvent pas anticiper toutes les situations (incomplétude) ;
• ne peuvent pas décrire tout en détail ;

36
2.3. Approches précédentes

• sont souvent localement incompatibles avec les objectifs opérationnels / les


contraintes de production ;
• sont partiellement antagonistes à la compétence, à l’intelligence, à l’adaptabilité.
 les approches locales et normatives de la sécurité ont atteint un plateau
 la faute individuelle n’est pas un bon concept
 chaque accident est l’échec d’une organisation
 les stratégies de sécurité doivent être repensées dans une perspective de fiabili-
té / résilience
 les hommes ne sont pas le « maillon faible », ils sont des facteurs de fiabilité (faillibles)

2.3.6 Synthèse de ces concepts-clés


Sur ces bases et à partir d’autres sources issues de la littérature, nous avons identifié les
principaux concepts et principes (contestés) sur lesquels nous fondons notre étude. Beaucoup
de ces concepts se superposent à différents niveaux, mais la redondance dans une enquête
ou un entretien n’est pas considérée comme un problème et les relations entre ces concepts
seront également explorées.
Les cinq premiers concepts sont liés à une description du système existant ou du modèle de
sécurité en cours. Ils cadrent avec la théorie de la complexité appliquée aux organisations
[Dugdale et Pavard 2001 ; Moulin et Pariès 2007]. Nous listons ici les concepts centraux et donnons
un ou deux exemples des hypothèses de sécurité possibles, ou des « mythes » associés à chaque
concept :
Variabilité Les variations de l’environnement et le comportement du système sont des me-
naces à la sécurité ;
Linéarité et proportionnalité Newtonienne Le résultat est proportionnel à la contribu-
tion ou à la somme des contributions ;
Causalité / Déterminisme Un événement conduit directement au suivant, de manière pré-
dictible et pertinente ;
Dualisme Cartésien L’esprit (et la cognition) existe indépendamment du monde physique ;
Normativisme L’environnement opérationnel est entièrement compris et modelé ; la sécurité
est assurée par le suivi des procédures.
De plus, nous avons utilisé les catégories suivantes comme bases pour nos entretiens et notre
questionnaire. Ce ne sont pas des concepts du même type que ceux décrits au dessus, mais
plutôt des phénomènes socio-organisationnels bien connus qui dérivent directement de pra-
tiques opérationnelles et du travail sur les facteurs humains. Ils ne sont pas tous indépendants
des concepts précédents, mais plutôt les incarnent et les illustrent ; il s’agit simplement de
différentes pièces d’un même tissu. Pour les trois dernières de ces cinq catégories, nous n’avons
pas donné d’exemple d’hypothèse ou de mythe associé, mais nous avons à la place terminé
par une question ouverte, l’objectif étant simplement de comprendre les modèles du système
que les personnes utilisent.
Erreurs L’erreur humaine est un phénomène bien défini, facilement compris ; l’erreur hu-
maine devrait être éliminée à chaque fois que possible puisque c’est une menace pour la
sécurité.
Responsabilité La responsabilité individuelle est (de manière inconditionnelle) bonne pour
la sécurité.
Vision de la sécurité Pour quelles raisons l’aviation est-elle sûre ?
Modèle explicite de l’accident Quels modèles d’accidents les personnels ont-ils dans la
tête ou quel est celui utilisé officiellement dans leur travail ?
Relations interorganisationnelles Quelle est la nature des relations entre les différents
sous-secteurs de l’industrie ?

37
Facteurs socioculturels du REX

2.3.7 Du pain sur la planche


Pourquoi, si ce type de recherche existe déjà, discutons-nous encore ce sujet ? Le problème
réside dans le fait que les efforts pour provoquer un changement de paradigme scientifique et
pour amener de nouvelles idées au courant de pensée principal au sein de l’industrie, n’ont
pas atteint le succès escompté.
Pour commencer, les professionnels de l’industrie déplorent la complexité des idées et le niveau
d’expertise requis pour les comprendre et soulignent que les modèles et les méthodes ont
besoin d’être plus matures et « validés » avant d’être raisonnablement appliqués en pratique
[Steele et Pariès 2007].
Il est vrai que peu de publications sont destinées à un large public. Beaucoup de paradoxes
sont inhérents à ce problème de communication. Premièrement, on s’attendrait plutôt à ce
obstacles au que seules les organisations les plus consciencieuses au niveau sécurité lisent des livres
changement régulièrement mis à jour et participent à des débats publics sur la sécurité. Ainsi, le premier
effet constaté peut-être celui de « prêcher des convertis ». Le second paradoxe, c’est que,
de lui-même, le paradigme existant bloque les changements ; nous recherchons une façon
simplifiée de délivrer comme message que le système est irréductible et ne peut pas être
simplifié, et nous devons démontrer les avantages coûts-bénéfices qu’il y a à adopter une
vision qui n’est pas pertinente avec de telles quantifications. Nous devons également expliquer
clairement les idées au personnel technique et aux managers (qui prennent les décisions)
de façon à les convaincre qu’ils ont besoin d’acquérir une expertise particulière en Facteurs
Humains pour les comprendre et les appliquer. Ceci est extrêmement difficile. Les principes
du modèle du fromage suisse [Reason 1990] peuvent être aisément expliqués à l’aide d’une
diapositive Powerpoint, c’est pourquoi au sein de l’industrie, les personnes s’attendent à ce
que n’importe quel nouveau modèle soit aussi simple et intuitif.
Il est naturel que les discussions sur le changement de paradigme et sur les limites du cadre
épistémologique actuel soient ciblées essentiellement au niveau académique. Le milieu aca-
démique est à l’origine du débat et les publications scientifiques ont vocation à expliquer les
concepts. Cependant, l’académie a pris beaucoup de temps pour intégrer les nouvelles idées
et le travail reste fragmenté, même parmi les chercheurs de la même « école ». Au sein de
la communauté Facteurs Humains, certaines fractions minoritaires influentes refusent caté-
goriquement et contredisent les nouvelles idées, ce qui, cependant, fait tout sauf stopper le
progrès et empêcher l’institutionnalisation des idées au niveau international.
Au-delà des problèmes de consensus académique et de politique, le débat doit se déplacer
vers l’industrie d’une façon plus systématique. Actuellement, de nombreux efforts sont faits,
mais ils ne sont pas organisés au niveau industriel. Toutefois, des débats et des travaux
de recherche industrielle ont été lancés à l’initiative de sociétés individuelles et d’autorités
nationales gouvernementales [Moulin et Pariès 2007] [Axelsson 2006, p139], ainsi qu’au travers
de conférences et d’associations professionnelles (comme EAAP23 ) ainsi que d’autres réseaux
tels que celui de la FonCSI et ceux mis en place par Airbus.
Ce travail ne peut bien entendu pas relever tous les défis. Ceux-ci peuvent même s’avérer
insurmontables dans certains cas. Néanmoins, nous nous attachons à essayer de créer le
engagement des consensus sur certaines des idées en faisant la synthèse de sources (académiques) variées, et
industriels nous avons l’intention d’atteindre et d’engager un large public industriel (y compris le réseau
ICSI et HILAS) dans le débat sur les implications opérationnelles de ces questions de sécurité
théoriques.

23
European Association for Aviation Psychology, Association Européenne de Psychologie de l’Aviation.

38
2.4. Conclusion

2.4 Conclusion
Nous avons débuté ce chapitre par un aperçu de certains des défis et des paradoxes auxquels
sont confrontés les chercheurs dans la sécurité aérienne, questionnant le contexte de certaines
croyances humaines affectant le comportement lié à la sécurité et nous l’avons illustré à l’aide
d’exemples célèbres de l’histoire de l’aviation. Dans la seconde partie, nous avons discuté du
bien fondé de notre axe de recherche, exposant comment notre contribution pourra améliorer la
compréhension de la prévalence de certaines croyances fondamentales sur les facteurs humains
dans l’aviation. Nous avons décrit la méthodologie utilisée dans notre étude ainsi que nos
perspectives pour la suite du projet. Dans la troisième partie, nous avons présenté les travaux
antérieurs qui dessinent le cadre théorique de notre recherche, parmi lesquels notamment
les caractéristiques des différents modèles utilisés au cours de l’histoire de l’aviation et les
hypothèses contestées qui définissent le paradigme de sécurité actuel. Nous allons terminer
ce chapitre par une synthèse et une précision de notre question de recherche.
Effectuer cette étude comme un exercice de réflexivité L’aviation se caractérise par sa maturité
et par son appartenance aux systèmes socio-techniques les plus sûrs des temps modernes
[Amalberti 2006]. L’aviation est une industrie déjà mondialisée et les opérations aériennes
connaissent, et ceci dans le monde entier, un taux de croissance élevé [Boeing 2007]. Les
solutions technologiques et techniques sont en évolution perpétuelle pour augmenter la
productivité et pour améliorer la sécurité et la performance. Nous avons également assisté à
une évolution des sciences de la sécurité et des Facteurs Humains [Hollnagel et al. 2006 ; Marais
et al. 2004 ; Pariès 1996, 1999], allant de pair avec ces changements.
Ainsi, les sciences de la sécurité et les Facteurs Humains doivent changer et répondre aux
besoins de cette industrie qui se réinvente en permanence. Les principes scientifiques sous-
jacents aux modèles de sécurité et aux Facteurs Humains évoluent en adéquation avec les
modifications de structure et des potentiels de danger de l’industrie à risque d’accident majeur.
Afin d’évoluer, les chercheurs doivent faire montre d’une certaine réflexivité, ils doivent être
conscients du moment où leurs idées et leurs méthodes ont besoin d’être mises à jour. La
difficulté à évaluer l’impact des interventions de sécurité est inhérente par nature, il n’est
par conséquent pas si facile de démontrer le besoin de changement. De forts arguments pour
le changement se font entendre depuis les années quatre-vingt [Hollnagel et Woods 1983] ; se-
lon certains chercheurs, l’état de l’art actuel et les méthodes communément utilisées sont
inadéquats dans certains contextes actuels de sécurité industrielle [Dekker 2005 ; Hollnagel 2004 ;
Pariès 1999] et ne sont pas suffisants pour assurer un progrès continu au niveau de la sécurité.
Le fait que les idées évoluent et que les modèles puissent être remis en question voire rejetés,
a des implications significatives pour le REX. En effet, ces principes, ces idées sont à la base de
notre façon d’enquêter, de comprendre les événements rapportés, de structurer et d’organiser
les systèmes de REX formels, et même de définir ce qui mérite d’être noté et devrait être
partagé en premier.
Selon le principe scientifique de falsification, aucune connaissance ne peut être catégorique-
ment prouvée : la science, c’est juste une collection de théories qui n’ont pas (encore) été
démontrées fausses. Cette humilité doit s’étendre aux sciences sociales pour leur permettre
d’évoluer et de progresser. Si le « savoir » sur les Facteurs Humains et la sécurité existant a
été falsifié à partir de preuves empiriques, ces hypothèses semblent pourtant persister. Notre
recherche vise à clarifier les hypothèses contestées et à déterminer leur prévalence au travers
des différentes facettes de l’industrie aérienne. Cette étude essaie de faciliter une prise de
méta-perspective sur les Facteurs Humains et la sécurité en aviation ; ainsi, d’une certaine
façon, il s’agit d’un exercice de réflexivité scientifique.
La (non) significativité de notre contribution La contribution que nous espérons de notre
travail est modeste. Il y a déjà eu quantité de livres et d’articles publiés par des chercheurs
reconnus internationalement sur le sujet. La recherche privée et des sociétés de consulting
comme Dédale se sont déjà lancées dans des tentatives de grande envergure dans le cadre
de projets de recherche européens majeurs, engageant d’importants budgets et de nombreux
partenaires dans tous les secteurs de l’aviation. Pourtant, tout cela commence seulement à
modifier la façon de penser et les comportements liés à la sécurité des personnes, et dans
certains cas, l’effet est quasiment indiscernable. Alors en quoi un projet de thèse peut-il
contribuer ? Nous reconnaissons que réviser un système de croyance dans son intégralité
et modifier le paradigme épistémologique sur lequel les croyances sont fondées n’est pas
un objectif banal. Comme une goutte d’eau dans l’océan, cette étude n’a pas pour ambition
d’apporter un grand changement. Comme nous l’avons indiqué précédemment, l’objectif final

39
Facteurs socioculturels du REX

de ce projet inclut un petit manuel à destination de la communauté opérationnelle, ainsi que


la mise en place de groupes de discussion des hypothèses de sécurité et de leurs implications
au niveau opérationnel. Ceci participera à un changement de façon de penser la sécurité des
systèmes socio-techniques complexes. Les changements de cette nature sont progressifs et
requièrent de la persévérance. Seul un flux constant et régulier de telles tentatives sur une
longue période semble rendre possible un remodelage de ces idées rigides et bien ancrées.
Demeure néanmoins un signe encourageant, qui montre que le changement commence à
prendre de la vitesse : la popularité du mouvement de l’ingénierie de la résilience et la prolifé-
ration récente de thèses dans le domaine de la résilience. L’ingénierie de la résilience prend
les concepts présentés dans ce chapitre comme point de départ, questionne et redéfinit le
paradigme de la sécurité et du management du risque. Notre étude va contribuer au corpus
de connaissances en expansion qui supporte cette école de pensée, fournissant une clarté
théorique et de nouvelles données empiriques. Le changement peut être progressif, mais si les
arguments sont solides et parlent aux gens, les bonnes idées se divulguent alors de manière
exponentielle. L’aviation est un système de la taille d’un mammouth, mais composé d’indivi-
dus. Si chacun des participants à l’étude (où appartenant au réseau professionnel) s’arrête un
moment pour réfléchir de manière critique sur sa compréhension de la sécurité, alors notre
contribution à l’évolution se fera sur ce plan là également.

40
3
Prise en compte des signaux faibles dans
le management de la sécurité : diagnostic
sur une raffinerie et un site métallurgique

Doctorante Ève Guillaume


Directeurs de thèse Andrew Hale (Université Technologique de Delft)
Floor Koorrneef (Université Technologique de Delft)
Partenaires scientifiques Nicolas Dechy et Jean-Christophe Le Coze (INERIS)
Yves Dien (EDF R&D)
Terrains industriels Un site métallurgique et une raffinerie

Sur les sites industriels, le maintien de la sécurité, à travers la démarche du Retour d’EXpérience
(REX), se tourne vers une activité de gestion des connaissances. [Gaillard 2005] identifie les
étapes suivantes :
 détecter et analyser les anomalies, les écarts et tout événement ;
 en rechercher les causes et les enchaînements ;
 en retirer divers enseignements ;
 définir des mesures de correction et d’amélioration ;
 assurer l’information pertinente des parties intéressées.

Un des enjeux est de parvenir à tirer des leçons efficaces des accidents, en gérant au mieux
les connaissances produites par ces événements. Malgré le très bon niveau de sécurité atteint
aujourd’hui par certaines industries (performances techniques, performances organisation-
nelles, baisse des accidents du personnel) et l’utilisation presque systématique du REX sur les
sites, des accidents majeurs surviennent encore comme l’explosion de la raffinerie Total de la
Mède en 1992, ou encore l’accident de BP survenu à Texas City en mars 2005. Les actions à
entreprendre aujourd’hui se situent, d’une part dans la compréhension des limites des outils
déjà existants, notamment le REX, et, d’autre part, dans les nouvelles voies à explorer afin de
les améliorer.
Notre projet de thèse est né d’un partenariat entre le laboratoire Safety Science Group de
l’Université Technologique de Delft (Pays-Bas), la direction des Risques Accidentels de l’INERIS
et la R&D d’EDF, positionnés dans ce projet de thèse comme soutiens scientifiques et experts
en gestion de la sécurité. Deux industriels collaborent activement à ce projet : une raffinerie
et un site sidérurgique français.

41
Facteurs socioculturels du REX

Nous proposons, à travers ce travail de recherche, de nous focaliser sur les difficultés des
premières étapes du REX, à savoir la détection et l’analyse des événements, les causes et
les enchaînements, et d’aborder dans cette optique la notion de signaux faibles au niveau
opérationnel1 . La détection et le traitement de ces signes précurseurs d’accidents situés
en amont des événements critiques, permettraient d’anticiper la dégradation de la sécurité
des installations et de freiner la séquence accidentelle. Notre étude comporte un axe
original puisque, parallèlement à l’analyse des signes annonciateurs d’incident/accident,
nous nous pencherons sur l’intégration de signaux faibles pertinents pour le REX positif,
retraçant la genèse d’un gain en terme de sécurité. Le but de notre recherche est de faire
émerger les origines des difficultés et d’améliorer la sécurité en proposant des solutions
pour une meilleure intégration des signaux faibles dans les démarches de REX.

Étalé sur quatre années, ce projet fournira une meilleure connaissance à la fois théorique et
pratique des signaux faibles. Ce chapitre synthétise l’ensemble du projet que nous menons et
se compose de quatre parties. Tout d’abord, nous reviendrons sur le contexte de la recherche et
situerons la problématique des signaux faibles. Nous exposerons ensuite les apports attendus
de notre recherche, la méthodologie déployée, la Recherche-Action, ainsi que les principales
hypothèses de travail. Puis, nous discuterons brièvement les travaux d’auteurs qui se sont
penchés sur la notion de signal faible en insistant sur leur discipline et leur apport dans
le monde académique. Enfin, nous proposerons les premiers résultats de notre étude et les
approches permettant de répondre à notre question initiale.

3.1 Le REX des signaux faibles, le contexte


Les études qui se sont penchées sur les fondements et l’efficacité de la démarche de REX
se rejoignent sur trois points principaux. Premièrement, le REX reste souvent réduit à une
REX réactif plus analyse technique des faits, ne prenant donc pas suffisamment en compte les facteurs humains
que proactif et organisationnels pour comprendre et tirer des leçons des événements critiques. Ensuite, le
système de REX reste réactif (analyses après accident) et évolue peu vers un positionnement
« proactif » [Bourrier 2002 ; Dien 2006 ; Amalberti et Barriquault 1999], résolvant ainsi partiellement
les problèmes identifiés. Enfin, [Bourrier 2002] relève deux « biais » dans l’usage du REX. À
défaut d’être un outil de partage des connaissances, le REX se limite souvent à la formation
REX assimilé à base d’une base de données répertoriant les événements survenus sur le site. Deuxième biais, le
de données REX peut être utilisé à des fins d’investigation judiciaire et semer le trouble dans sa finalité
interférences initiale. Ces limites identifiées expliqueraient le relatif insuccès du REX, ainsi que l’appren-
judiciaires tissage souvent seulement partiel qu’il permet de générer (car peu de leçons sont tirées des
expériences).
L’enjeu de ce programme de recherche et de la thèse de doctorat que nous menons, est de
dépasser ces limites, de dégager des voies de recherche et d’action pour améliorer l’efficacité du
REX et, par extension, développer les opportunités d’apprentissage des sites qui le mettent en
place. Quelles voies se dessinent aujourd’hui ? De nouvelles notions émergent dans le paysage
scientifique mais également au sein de certaines industries (EDF et sanofi-aventis par exemple).
La problématique des signaux faibles, définis comme signes précurseurs d’accidents, offre
des perspectives de recherche intéressantes. Elle propose un positionnement « en amont »
des événements en tentant d’identifier le plus tôt possible les signes de dégradation de la
sûreté de fonctionnement, de les traiter et de tirer des enseignements de ces signaux en les
intégrant dans le système de REX. Les signaux sont faibles, mais leur potentiel est grand.
potentiel fort des Cependant, cette aventure des signaux faibles n’est pas dépourvue d’embûches. L’enjeu est
signaux faibles de taille mais l’étude difficile. Les ouvrages qui se sont attelés à cette problématique (nous le
verrons de manière plus détaillée dans la troisième partie de ce chapitre) montrent l’intérêt
à la fois théorique et pratique de ces signaux, mais la difficulté à les prendre en compte. La
notion même de « signaux faibles » suscite de surcroît des réactions contrastées :
 d’un côté ils se révèlent être pertinents et constituent une catégorie d’analyse ou un objet
d’étude évident dans le domaine de la recherche et dans son application industrielle ;

1
Nous reconnaissons que les signaux faibles peuvent être détectés à un niveau managérial, mais nous précisons, dès
l’introduction, que notre recherche se focalise sur les signaux faibles au niveau opérationnel. Nous considérons en
effet qu’ils sont détectés à ce niveau des opérations.

42
3.2. La prise en compte des signaux faibles par le SMS

 de l’autre, ils peuvent être taxés de « piège intellectuel », de croyance.

Les analyses délivrées, entre autres par [Llory 1996 ; Dien 2006] ou encore [Roux-Dufort 2000]
en France, montrent que les signaux faibles sont souvent détectés par un ou des individus
(des lanceurs d’alerte ) en situation de travail, mais le message qu’ils portent, leur position lanceurs d’alerte
dans l’organisation ou leur faible légitimité, rendent difficile la possibilité de transmettre cette traitement difficile
information d’alerte à un niveau organisationnel (décision, management).

Exemple sur le site sidérurgique

Le site investigué a connu il y a quelques années l’explosion d’un silo de stockage de produit.
L’analyse de l’accident a montré que des signes précurseurs avaient été détectés — augmentation de
la température du produit notamment — mais n’avaient pas été interprétés comme annonciateurs
avant l’accident. Le site a su tirer des leçons positives de cet accident en introduisant dans la
conception du nouveau silo des moyens de détecter plus précocement ces signes :

 prises de température plus précises ;


 renforcement de la structure matérielle du silo

et de les traiter avant qu’ils ne s’emballent en séquence accidentelle. Cet exemple témoigne à la
fois de l’ambiguïté des signaux faibles et de la mise en place, suite à cet accident, d’un REX positif
visant à une meilleure détection et un meilleur traitement de ces signaux.

La section suivante énonce nos principales hypothèses de recherche ainsi que la méthodologie
qui va, nous l’espérons, nous permettre d’y répondre.

3.2 La prise en compte des signaux faibles dans le Système de Management de la


Sécurité : diagnostic
Dans la première partie de ce chapitre, nous avons exposé les difficultés de la prise en compte
et du traitement des signaux faibles, difficultés inhérentes à leur nature même, mais également
liées à la sous-estimation des conséquences possibles. Nous sommes convaincus qu’améliorer
la gestion des signaux faibles, les intégrer dans les démarches de REX, sont un gage de progrès
dans le management de la sécurité industrielle.
Cette recherche permettra de soulever deux questions :
 l’intérêt théorique des signaux faibles :
• Les signaux faibles constituent-ils un objet d’étude scientifique ?
• Comment recueillir des données pour saisir cette notion ?
 l’intérêt pratique des signaux faibles :
• Qu’est-ce qu’un signal faible ?
• Est-il possible de détecter ces signaux à temps et à coût raisonnable ?
• Pour quelles raisons les industriels ont-ils du mal à les traiter ?
• Quels outils mettre en place pour mieux les prendre en compte ?
Nous allons maintenant développer la méthodologie employée sur nos terrains d’investigation,
ainsi que les premières hypothèses et apports attendus de notre travail.

3.2.1 Méthode de travail


Nous avons choisi de mener cette recherche en mobilisant la démarche méthodologique de
Recherche-Action (cf. Figure 3.1). Elle se découpe en deux grands temps :
1. Réalisation d’un diagnostic sur les deux sites :
 étude de cas à la raffinerie ;
 étude de cas sur le site sidérurgique.
2. Mise en place d’actions d’amélioration

43
Facteurs socioculturels du REX

choix des cas

finalités

planification

recueil
recueil
diagnostic
études de cas
exploitation

traitement

interprétation

restitutions
actions

recommandations

généralisation

Fig. 3.1 – Les principales étapes de l’étude de cas dans une démarche de Recherche-Action, inspirées de
[Leplat 2002]. Les étapes sont décrites ici de manière théorique. En pratique, ces étapes peuvent
ne pas suivre cette linéarité et donc bousculer cet ordre, ce que nous illustrerons plus loin.

Le choix de ces sites pour les études de cas est pertinent car tous deux pratiquent déjà une
politique active de prévention de la survenue des Accidents Majeurs et souhaitent l’améliorer
par des outils innovants et efficaces. L’immensité de ces sites nécessite de « circonscrire », c’est
à dire de clairement délimiter physiquement le terrain de recherche. Il est de même nécessaire
de réduire la portée des observations pour « ne pas se perdre dans la connaissance des constats
à dresser » [Arborio et Fournier 2003, p.26].
Ces études de cas ont été planifiées en plusieurs étapes, exposées dans l’exemple suivant :

Étude de cas à la raffinerie

 Phase 1 : novembre 2006 « Exploration »


Prise de contact avec le service sécurité, découverte sur SMS, visite de la raffinerie, formation
à la sécurité ;
 Phase 2 : septembre-octobre 2007 « Période intensive de recueil des données »
Réalisation des études de cas : fonctionnement normal, scénarios d’accidents et scénarios de
succès, bilan et identification des données manquantes ;
 Phase 3 : février-mai 2008 « Données complémentaires »
Définition définitive de la problématique et de la méthodologie, recueil des données man-
quantes.

Comme cela est précisé dans l’exemple précédent, nous aborderons la prise en compte des
signaux faibles selon trois approches différentes :
 l’étude du fonctionnement normal ;
 l’étude de scénarios d’accidents ;
 mais aussi l’étude de scénarios de succès.

L’étude du fonctionnement normal. Cet angle d’attaque permet de regarder l’activité des
deux sites sans se focaliser sur l’étude d’un accident. Il s’agit d’étudier :
 la politique inscrite dans le Système de Management de la Sécurité ;
 les outils de remontée des informations ;
 les outils d’analyse d’accidents.

C’est sur le site de la raffinerie que cette activité a été développée pour le moment.

44
3.2. La prise en compte des signaux faibles par le SMS

Scénarios d’incidents / accidents. Nous entendons par scénarios d’accidents, des cas réels
d’accidents survenus sur les deux sites. Nos critères de sélection ont été les suivants :
 étudier des accidents de process (et non corporels) de gravité importante (accident ma-
jeur) ou potentiellement graves (presqu’accidents) ayant fait l’objet d’une analyse post-
accidentelle ;
 des scénarios assez récents pour pouvoir étudier les documents relatifs aux cas choisis
et rencontrer les personnes impliquées (opérateurs, chefs de secteur, responsable de la
sécurité).
Sur le site sidérurgique, cinq scénarios d’incidents ont été étudiés (ils le seront prochainement
sur le site de la raffinerie). L’objectif est de revenir sur ces événements et d’examiner si des
signes précurseurs ont été détectés et traités. Il s’agit pour cela d’identifier les outils formels
de remontée des informations (REX, audits), la transmission des informations (canaux de
communication) et son efficacité, les outils de compréhension et d’analyse de l’incident (outils
tels que l’Arbre des Causes), les mesures correctives mises en place et, enfin, les leçons tirées
de cet incident.

Scénario d’accident sur le site sidérurgique : feu sur une conduite de fluide

 documents disponibles et étudiés : Procès verbal de CHSCT exceptionnel ;


 entretiens : le chef d’équipe et les deux opérateurs présents lors de l’incident, l’expert
« fluides » du département ;
 visite de terrain pour visualiser le lieu de l’incident et observer les modifications réalisées sur
l’installation après l’incident ;
 visualisation de photos prises le jour même de l’incident.

L’étude de scénarios de succès. Enfin, le « REX positif », c’est à dire sur des événements, des
écarts ayant permis de résoudre un problème, ayant apporté une amélioration, est également
extrêmement riche d’enseignements. Nous souhaitons relever des exemples de « bonnes pra-
tiques » c’est-à-dire la façon dont les sites ont su rattraper des situations critiques et surtout
en tirer des leçons efficaces. Contrairement aux accidents, ces scénarios sont difficiles à isoler.
Ces bonnes pratiques ne sont pas formalisées dans des outils ou remontées à travers le REX.
C’est en entrant plus profondément dans la vie organisationnelle (situations de travail des
opérateurs par exemple) que nous pourrons observer ces situations et identifier les facteurs
de réussite.
Tout au long de notre démarche de recherche, différents types d’outils sont mobilisés.

Les outils d’immersion / participation pour le fonctionnement normal :


 lecture de manuels : Management de la Sécurité, Manuel de l’inspection ;
 participation aux réunions sécurité « exceptionnelles » (comme des forums2 suite à des
incidents) ;
 participation à des réunions qualité, lancement de projets (nouvel outil de remontée des
incidents/accidents) ;
 visites de terrain accompagnées par des corps de métier différents voués à la sécurité :
• préventeurs (du département sécurité)
• membres du service inspection
• responsable de projet maintenance
 observations de situations de travail :
• gestion des anomalies techniques
• procédure de mise en sécurité des installations en travaux (pipes de fuel par exemple).

2
Suite à la récurrence de plusieurs événements, la raffinerie a mis en place des « réunions générales sécurité » ou
« forums » pour informer et sensibiliser l’ensemble du personnel sur les thématiques suivantes : travaux en hauteur,
accident Haute Pression, les grands interdits (fumer, téléphone portable), les règles de circulation en voiture au
sein du site et enfin la mise en sécurité des installations (condamnations hydrauliques notamment).

45
Facteurs socioculturels du REX

Les outils « classiques » de recueil de données. L’approche qualitative implique la mobi-


lisation de différentes techniques. D’une part, des entretiens semi-directifs sont utilisés
pour obtenir des données et un discours sur les pratiques des individus. Il est important de
noter que bon nombre de données sont recueillies au cours de conversations dites informelles.
importance des Le « journal de bord » [Beaud et Weber 2003, p. 143] devient donc un allié indispensable pour
échanges informels nourrir constamment les études de cas. D’autre part, ces entretiens sont complétés par des
observations « à visage découvert » (les personnes observées connaissent l’identité du cher-
cheur et savent que ce dernier les observe discrètement en situation de travail). Néanmoins,
rien ne pouvait a priori définir les lieux et les circonstances pertinentes pour réaliser les
observations de terrain. C’est à la suite d’une longue immersion et d’une connaissance plus
approfondie de l’activité des sites, que ces situations ont pu être définies et observées. Enfin,
la lecture attentive de documents internes nous a permis de nous forger une connaissance des
outils (REX, base de données, méthode d’analyse des accidents, SMS, etc.).

Nous allons maintenant décrire la nature des différentes actions mises en place et les objectifs
visés par notre travail de recherche :
Restitutions. Il nous semble fondamental dans un premier temps de restituer les résultats du
diagnostic. Les restitutions sont l’occasion de :
 diffuser les résultats sur le site ;
 faire participer les individus à l’étude ;
 valider avec eux les résultats et les actions proposées ;
 élaborer les conditions de mise en place de ces actions avec les acteurs de décision et les
acteurs de terrain.
Impact et appropriation des restitutions. L’appropriation et l’application des actions
proposées dépendent de la qualité du diagnostic. Nous ne pouvons a priori pas spéculer sur la
manière dont elles seront accueillies par les partenaires industriels. Comme nous le voyons
sur la figure schématisant les grandes étapes de la thèse (cf. figure 3.2), le travail de recherche
se nourrit et les résultats se stabilisent grâce aux allers-retours entre les phases de terrain, le
travail de lecture et le travail de réflexion. La difficulté de la Recherche-Action est bien celle
de créer un pont intelligible entre la recherche et l’industrie, en d’autres termes de réaliser un
effort de traduction des résultats obtenus en actions opérationnelles.
Dans cette optique opérationnelle, c’est bien sur la gestion de la sécurité que nous souhaitons
agir. Pour que les actions soient validées et que les acteurs de terrain se les approprient, la
démarche de Recherche-Action doit impliquer les individus dans le projet. Cette implication
comprend :
 une participation aux entretiens ;
 une participation aux restitutions des résultats ;
 une implication active ou passive dans la mise en place des actions.

Peu d’auteurs ou d’industriels se penchent sur ces questions. Nous essaierons de les éclairer à
travers notre expérience sur les terrains industriels que nous étudions.

3.2.2 Résultats attendus et premières hypothèses


Dans le cadre de cette recherche, nous tenterons de modéliser les données recueillies et de
réaliser une photographie de la maturité des sites concernant leur capacité à détecter et
bilan gestion des traiter les signaux faibles. Notre objectif est d’identifier les forces et les faiblesses du Système
signaux faibles par de Management de la Sécurité en termes de prise en compte des signaux faibles. Sur la base
le SMS de ce diagnostic, nous déploierons des pistes d’amélioration. Les résultats obtenus sur le
site de la raffinerie et sur le site sidérurgique seront mis en regard et permettront d’enrichir
les interprétations.
La Recherche-Action s’avère a priori pertinente pour mener cette recherche. Elle fournit en
effet un cadre méthodologique articulant un temps de diagnostic sociologique permettant de
soulever des « problèmes ouverts » c’est-à-dire « des problèmes sur lesquels des questionne-
ments, des controverses ou des conflits existent dans l’entreprise et auxquels un chercheur
actions peut aussi associer des problématiques plus générales » [Hatchuel 1992], mais aussi de proposer
d’amélioration des actions d’amélioration aux parties prenantes sur la base de ce diagnostic.

46
3.2. La prise en compte des signaux faibles par le SMS

Bibliographie/Théorie Terrains Actions Rédaction

Année 1

Revue de littérature Phase 1 des terrains

Année 2

-Définition de la question de Phase 2 des terrains


recherche
-Amélioration/
approfondissement de la
méthodologie

Année 3

-Stabilisation de la question Phase 3 des terrains Restitutions et


de recherche Recommandations
-Stratégie définitive des
études de cas

Année 4

Accompagnement Manuscrit définitif


dans la mise en place de la thèse
des actions

Fig. 3.2 – Processus de recherche : les grandes étapes de la thèse

À l’issue des études de cas menées sur les deux sites, un travail de comparaison sera engagé
afin de mettre en lumière les similarités, mais aussi les différences en termes de détection
et traitement des signaux faibles. Un travail d’échange pourra être envisagé entre les deux analyse comparative
sites. L’objectif est bien de comprendre par quels mécanismes (outils, méthodes, analyse
des incidents/accidents/anomalies) les sites relèvent et traitent ces signes précurseurs. Nous
tenterons ensuite d’identifier les facteurs bloquant ou favorisant ce traitement.

À cette étape de notre étude, les premières données recueillies sur le terrain nous conduisent
à formuler quatre grandes hypothèses :
1. C’est la difficulté de sa prise en compte dans le système de REX et de son traitement
qui caractérise la « faiblesse » du signal :
 les signaux faibles sont identifiés au niveau des opérations techniques ;
 ils sont transmis au niveau management/décision ;
 mais leur message est ignoré.
2. L’origine des difficultés de traitement des signaux faibles est à explorer au sein même du
Système de Management de la Sécurité mis en place sur les sites :
 un SMS basé sur un ensemble de certitudes ou croyances préexistantes, détermi-
nant une définition a priori des signaux faibles ;
 un SMS révélant des pratiques fragmentées sur le site, empêchant la coordina-
tion des informations et amenuisant l’accès à une vue d’ensemble homogène de ce
management de la sécurité ;
 un REX réactif plutôt que proactif ;
 un SMS non intégré à l’activité du site (déployé comme une activité à part) ;
3. Il est important de mettre en lumière certaines caractéristiques organisationnelles,
parmi lesquelles une approche « bureaucratique » révélant :
 une existence, voire un renforcement des règles et procédures pour gérer la sécurité ;
 un mode de communication linéaire et souvent à sens unique (fossé entre managers
et opérationnels) ;
4. Il est nécessaire de remédier aux facteurs de faiblesse et de proposer une méthodologie :

47
Facteurs socioculturels du REX

 catégoriser les différents types de signaux faibles et les sources de détection ;


 favoriser une méthode d’analyse des accidents : coordonner les sources d’informa-
tions, analyser les signes précurseurs à travers l’étude des scénarios et identifier des
barrières adaptées à la survenue de ces signes de dégradation de la sécurité.

3.3 Les approches existantes


Dans le domaine de la sécurité industrielle, de nombreux travaux académiques ont déjà été
menés sur les signaux faibles. La majorité s’est penchée sur l’intérêt de cette notion en tant
que nouvelle voie de recherche pour améliorer la sécurité, mais également sur la difficulté
à les traiter et à les prendre en compte de manière opérationnelle. Une double perspective
s’ouvre alors : comment la notion de signal faible contribue-t-elle à l’avancée de la recherche
scientifique ? Ces signaux peuvent-ils être opérationnels et contribuer, de manière concrète, à
l’amélioration de la sécurité des sites ? Afin d’éclairer le lecteur et d’apporter des éléments
de réponse à cette vaste question, nous exposerons les points suivants. Tout d’abord, nous
reviendrons brièvement sur les disciplines ayant traité des signaux faibles en essayant d’en
extraire des éléments pertinents pour notre recherche. Nous rentrerons ensuite dans le vif du
sujet en présentant les grandes approches en sciences humaines et sociales dans le domaine
de la sécurité industrielle, des risques et des accidents.

3.3.1 Les signaux faibles et les autres disciplines : une notion émergente ?
La notion de signaux faibles ou de signes précurseurs, fait l’objet d’un vif intérêt dans certaines
disciplines anciennement établies : la médecine — signes précurseurs de maladies comme la
dépression, la maladie d’Alzheimer —, la physique, la géologie — les prémisses d’un tremble-
ment de terre — mais également l’histoire… Parmi ces disciplines, il en est une, la gestion
stratégique des entreprises, dont les analyses apportent des éléments pertinents dans le cadre
de notre recherche.
Certains auteurs ont tout d’abord procédé à un effort de définition. O. Mevel caractérise un
signal faible comme étant « plus qualitatif que quantitatif, incertain, fragmenté et ambigu »
des données [Mevel 2004, p. 20-21]. I. Ansoff et E. Mc Dowell proposent quant à eux de voir les signaux
incertaines… faibles comme des « imprecise early indications about impending impactful events », c’est à
dire des « signes/signaux imprécis/ambigus annonçant un événement imminent et impactant
l’environnement » [Ansoff et McDonnell 1990, p.20-21].
Malgré leur caractère « imperceptible » que nous relevons dans ces définitions, les signaux
faibles ont un intérêt opérationnel. Guidés par les travaux de I. Ansoff, [Lesca et Blanco 2002]
et [Lesca et Castanos 2004] démontrent que, menacées par un environnement changeant, les
entreprises doivent rester compétitives et pour cela capturer les signes précurseurs d’alerte.
Plus une entreprise développera sa capacité de veille, plus elle sera capable de détecter et
anticiper les changements, les ruptures et les événements inattendus. C’est dans ce contexte que
pouvoir [Caron-Fasan 2001] considère les signaux faibles comme étant dotés d’un pouvoir d’anticipation.
d’anticipation… L’enjeu est donc de saisir, de capter ces signes très tôt pour répondre de manière correcte à la
menace.
Un des intérêts de ces travaux, et en particulier ceux de I. Ansoff, est la solution proposée
pour répondre de manière stratégique à la problématique des signaux faibles. Plusieurs atouts
sont à mettre en œuvre : une capacité/expertise, une activité et une structure organisation-
nelle spécifiquement dédiées à la capture de ces signaux. Répondre aux signaux faibles passe
premièrement par une capacité à les détecter, ce qui nécessite une expertise et de la sensibilité
flexibilité pour une de la part des observateurs. Ensuite, l’organisation doit mettre en place des activités de prévi-
réponse rapide sion et d’analyse des comportements compétitifs (chez les concurrents). Enfin, une structure
flexible — attentive aux évolutions de l’environnement — permet des réponses plus rapides
aux événements imprévus. En somme, veille et flexibilité sont les maîtres mots pour une
détection et une réponse efficace aux signaux faibles.
Ces travaux sont intéressants à plusieurs titres. Ils donnent une définition opérationnelle des
signaux faibles, démontrent l’intérêt de les détecter et proposent une réponse stratégique pour
les résorber. Nous tiendrons leur démonstration pour première définition des signaux faibles.

48
3.3. Les approches existantes

Les signaux faibles sont des signes ambigus, annonciateurs, qui demandent une capacité
de veille et de réponse à la surprise ou l’imprévu.

Cependant, ces travaux font peu référence aux dimensions organisationnelles (structure aspects humains et
organisationnelle, culture, métiers, environnement précis de l’organisation en question etc.) organisationnels peu
et humaines qui entrent en dynamique, et ne font en aucun cas l’objet d’études de cas, de pris en compte
confrontation à l’empirique. pas de données
expérimentales

3.3.2 Les principales contributions dans le domaine des risques, des accidents et de la
sécurité industrielle
Les approches en sciences humaines et sociales que nous allons exposer maintenant sont des
contributions fondamentales dans le domaine des risques et de la sécurité industrielle.

Facteurs organisationnels de vulnérabilité

Étudier la sécurité des sites industriels renvoie indéniablement à la structure organisationnelle


de ces derniers. On ne peut donc faire l’impasse sur l’existence à la fois matérielle et théorique
de ces organisations et nous considérons que ce double aspect donne sens, en tout ou en partie,
aux problématiques qui nous intéressent ici. Les approches en sciences humaines qui se sont
attaquées à la problématique des signaux faibles — sociologie, psychologie, gestion — ont en
commun une attention particulière portée au contexte dans lequel cette problématique est
étudiée : l’organisation et son environnement. De ce fait, nous admettrons que l’organisation
donne sens aux signaux faibles et que la combinaison de plusieurs de ses dimensions empêche
ou favorise la prise en compte de ces derniers. Afin de clarifier nos propos, nous proposons
d’exposer les travaux existants selon le découpage suivant :
 la communication interindividuelle ;
 la dimension collective et organisationnelle ;
 la dimension structurelle.

Chaque niveau sera explicité au fur et a mesure.

La métaphore de la communication : les facteurs bloquant la prise en compte des signaux


faibles

Nous constatons que la majorité des études sur les signaux faibles ont cherché à mettre en
lumière les facteurs bloquant leur prise en compte. L’idée sous-jacente à ces analyses est bien
d’identifier des vulnérabilités affaiblissant ou ne favorisant pas le maintien d’un niveau de
sécurité industrielle performant. La communication au sein de l’organisation fait l’objet de
beaucoup d’attention.
La transmission de signaux. Selon [Ostberg 2006], les signaux faibles peuvent être décrits
dans un cadre tout à fait conventionnel, celui de la transmission de signes informatifs entre un
émetteur et un destinataire. Cependant, comme nous l’avons précisé plus haut, dans le cadre
d’une organisation plusieurs facteurs entrent en compte dans la signification ou la prise de
sens de ces signaux. G. Ostberg écrit que c’est dans la nature des signaux faibles relatifs à la
sûreté, d’émettre une incertitude quant à leur interprétation. Chaque individu devant y faire
face, développera une aptitude différente dans sa capacité à traiter cette information. Cette
capacité varie en fonction de sa compréhension du signal, de son interprétation de la situation
et de sa responsabilité à réagir et agir. (B. Turner et N. Pidgeon développent également cette
idée).
L’interprétation de ces signaux. Nous souhaiterions donner une ampleur plus organisation-
nelle à cette idée de l’interprétation des signaux qui est, selon nous, au cœur de la recherche.
[Turner et Pidgeon 1997] identifient deux systèmes de communication : un système fermé et un
système ouvert.
Dans ce système de communication, si une information transmise tombe dans la catégorie
valable, alors l’information sera reçue (A) ; en revanche, si une information tombe en dehors
de cette catégorie, elle sera considérée comme une erreur et toute chance d’interprétation sera
écartée (B) (cf. Figure 3.3). Or, nous avons défini provisoirement les signaux faibles comme
des signes ambigus qui, pour être pris en compte, nécessitent de la part des acteurs une

49
Facteurs socioculturels du REX

Canal de communication

information

Emetteur: Destinataire :
message message reçu
envoyé

Autorisé pour Autorisé pour Erreurs


transmission réception (A) supprimées (B)

Fig. 3.3 – Représentation schématique d’un canal de communication [Turner et Pidgeon 1997].

capacité à répondre à la surprise, à la rupture ou à l’imprévu. De même, [Bourrier et Laroche


2001] expliquent la possibilité de dérive dans le traitement des informations, par la capacité de
certaines organisations à ignorer des signaux de risques ou à les interpréter de manière erronée.
Cette tendance naît de l’existence de filtres a priori (cognitifs, identitaires) qui construisent
le risque : d’une part un aveuglement progressif au risque et, d’autre part, une tendance à la
dérive due à l’écart par rapport à un référent correct. C’est ce que D. Vaughan a nommé la
« normalisation de la déviance ». M. Bourrier recommande le réajustement des cadres cognitifs
afin de pouvoir prendre en compte et interpréter les informations les plus faibles relatives au
risque. Ces « unexpected events », autrement dit ces « événements imprévus / non attendus »
comme l’écrivent [Turner et Pidgeon 1997], demandent donc à être interprétés dans un système
de communication ouvert, un système attentif à la surprise, aux ruptures venant de l’extérieur
et pouvant remettre en cause de manière profonde les catégories d’interprétation trop rigides.
Nous considérons les signaux faibles comme des informations nécessitant une aptitude à
répondre à l’imprévu [Ostberg 2006].

Dimension collective et organisationnelle

B. Turner, qui est sans doute l’un des pionniers dans l’analyse des signaux faibles, a tout d’abord
période d’incubation identifié une « période d’incubation » de l’accident au cours de laquelle « a chain of discrepant
events develop and accumulate unnoticed », c’est à dire « une chaîne d’événements dissonants
qui se développent, s’accumulent et restent difficilement détectables » [Turner et Pidgeon 1997].
Ces deux auteurs mettent en regard plus de 80 accidents survenus en Grande-Bretagne. Des
signes précurseurs d’accidents émergent avant l’événement central. Malgré leur présence et
leur vie au sein même de l’organisation, ces signes sont rarement traités à temps. B. Turner
a ainsi soulevé la difficulté centrale de l’étude de ces signaux : leur traitement. Il constate
négation du risque que, malgré leur détection, ces signes restent ignorés par l’ensemble de l’organisation et les
acteurs qui la constituent. Face à ce constat, il s’est efforcé d’identifier quels facteurs peuvent
empêcher la prise en compte de ces signes précurseurs. Parmi ces facteurs, il relève le fait que
la détection d’un désastre peut être inhibée par les « rigidités » de perception de l’organisation.
Turner précise en effet que sa culture propre, mais aussi le système de communication, peuvent
conduire l’organisation à l’aveuglement face à des indications importantes (ou au déni du risque
selon [Hopkins 2006]) et bloquer ainsi toute possibilité de percevoir et traiter les informations
liées à la défaillance de sécurité. Les travaux de D. Vaughan ont contribué à définir la notion de
signaux faibles comme des informations « informelles et ambiguës telles que la menace pour
la sécurité n’apparaît pas clairement » [Vaughan 1996, p.245-246]. L’intérêt de ses travaux réside
encore une fois dans la perspective organisationnelle dans laquelle D. Vaughan s’inscrit. Elle
démontre bien que les signaux faibles ne sont pas ambigus par nature, mais que l’organisation,
dans sa culture de sécurité, sa technique, dans les modes de communication établis, rend ces
signes « faibles ». La sociologue démontre, entre autres, que la culture bureaucratique de la
NASA, caractérisée par l’application de procédures formelles et la confiance dans la preuve
quantitative et statistique des événements, laisse peu de place à ce qui définit les signaux faibles
selon elle, à savoir un aspect davantage qualitatif, mobilisant l’expérience, voire l’intuition des
membres de l’organisation. Notre projet est donc de considérer la problématique des signaux
faibles comme le résultat ou le symptôme d’une imbrication intime entre plusieurs dimensions
organisationnelles empêchant ou freinant le traitement et la prise en compte de ces signaux.

50
3.4. Conclusion : premiers résultats et perspectives

Les High Reliability Organizations

Nous voudrions terminer ce rapide tour d’horizon des approches par l’apport indéniable
des HRO (High Reliability Organizations) ou Organisations à Haute Fiabilité. Cette école
américaine s’est attachée, contrairement aux études exposées plus haut, à identifier les facteurs
de succès et de performance de certaines organisations dites à risques. La question centrale
posée par les représentants de cette école est la suivante : quels sont les facteurs qui permettent
à ces organisations de maintenir un si bon niveau de fiabilité ?
En écho avec ce courant des Organisations à Haute Fiabilité, nous proposons de déplacer
le regard sur les organisations que nous étudions. Nous voulons mettre l’accent sur des
dimensions plus informelles — la culture de l’entreprise — pour révéler les faiblesses du Système
de Management de la Sécurité et les difficultés à traiter les signes précurseurs d’accidents.

3.3.3 Positionnement scientifique de notre étude


Dans cette perspective, nous pensons que mobiliser les approches classiques telles que la
sociologie, la psychosociologie ou la gestion, nous permettra de révéler ces dynamiques or-
ganisationnelles sous-jacentes au phénomène des signaux faibles (cf. Bibliographie en fin de
document). Elles seront complétées par des approches plus spécifiques dans le domaine des
accidents. Nous prendrons donc appui sur l’école des HRO représentée par Rochlin, Roberts
et LaPorte qui, elle, s’est efforcée d’identifier les facteurs de performances de certaines organi-
sations dites à haut risque. Nous nous appuierons enfin sur les analyses d’accidents majeurs
réalisées par B. Turner, D. Vaughan, M. Llory ou P. Shrivastava, dont les contributions sur la
notion de signaux faibles sont incontestables.

3.4 Conclusion : premiers résultats et perspectives


Dans les trois premières sections de ce chapitre, nous avons tout d’abord évoqué le contexte
et situé notre sujet de recherche. Nous avons ensuite abordé la méthodologie et proposé
des hypothèses de travail. La troisième section revient brièvement sur les approches qui ont
traité de la notion de signaux faibles en mettant en valeur les éléments les plus intéressants.
Nous nous proposons maintenant de conclure en traitant plus précisément des premiers
résultats des études de cas que nous avons menées sur le site sidérurgique et sur la raffinerie.
Nous présentons synthétiquement ce que nous identifions comme des « facteurs bloquant
le traitement des signaux faibles » à la lumière des travaux cités dans la troisième section.
Cependant, d’autres travaux peuvent nous éclairer plus avant, voire résoudre cette difficulté
de traitement en identifiant des facteurs « amplificateurs » des signaux faibles. Finalement,
nous conclurons ce chapitre en présentant nos perspectives de recherche.

3.4.1 Diagnostic préliminaire


Les premières données exposées ci-après concernent plus particulièrement le site pétrochi-
mique. L’avancée de nos travaux ne permet pas actuellement d’approfondir les idées qui vont
suivre, mais elles apparaissent pertinentes au regard des premiers résultats des études de cas.

Une gestion des informations formalisée et fragmentée

Des outils formalisés. Sur les deux sites d’investigation, nous avons observé un Système
de Management de la Sécurité très formalisé. Les outils déployés sur les sites sont voués à la
détection et au traitement d’événements préalablement définis. Deux types d’outils ont été
recensés, plus particulièrement sur le site pétrochimique :
1. le REX événementiel. Il s’applique aux événements graves, mais aussi à ceux qui
représentent une gravité potentielle élevée. Le REX événementiel encourage la remontée
du plus grand nombre d’événements accidentels depuis le terrain, même les plus bénins,
pour pouvoir repérer les cas sur lesquels il s’avère nécessaire d’en savoir plus. Les mesures
seront décidées à la vue des conclusions de l’analyse qui sera menée [Gauthey 2005].
Le site pétrochimique mobilise essentiellement deux outils pour ce type de REX :
 le REX : partage inter-sites ;
 les rapports d’enquête des événements internes (intra-site).

51
Facteurs socioculturels du REX

2. le REX signaux faibles. Cette forme de REX se distingue de la précédente. Aucun


événement marquant n’est réellement survenu. Il vise toutefois à en anticiper l’occurrence.
Ce REX pose comme hypothèse que :

‘‘ Tout ce qui est envisageable peut arriver un jour ; il convient donc d’anticiper autant que
possible les événements redoutés et de prendre les mesures qui permettront de contrôler la
situation [Gauthey 2005].

Deux types d’outils seraient mobilisés pour ce type de REX :


 des outils formels (pris en compte dans la base de données) :
• les anomalies techniques ;
• les audits de chantier « Entreprises Extérieures » ;
• les audits propreté et rangement ;
• le constat d’anomalies fournisseurs ;
• les anomalies « qualité » : les réclamations clients.
 des outils informels (non pris en compte dans les bases de données) :
• les visites et réunions CHSCT, le comité d’entreprise ;
• les mains courantes, les réunions de coordination.
Nos observations de terrain (plus particulièrement sur la raffinerie) nous ont permis d’identifier
les éléments suivants :
 les anomalies sont définies a priori, selon des critères implicites. En effet, elles sont :
• souvent techniques et émergent dans le secteur opérationnel,
• détectables à travers l’utilisation de ces seuls outils,
• définies par les concepteurs et non par les opérationnels (distance observée par
Antonsen et al.),
 alors que les outils de remontée des anomalies (qui existent également sur le site sidérur-
gique) sont utilisés et vus comme le vecteur essentiel de détection des signaux faibles à
la raffinerie, celle-ci déplore une forte difficulté à les traiter dans la gestion de la sécurité.
La définition a priori de ces anomalies et la création d’outils dédiés à leur détection, dans des
temps choisis et selon une procédure préétablie, font penser que les anomalies n’existent que
lorsqu’on va à la recherche de ces signaux. En d’autres termes, l’existence et la détection
de ces anomalies est décrétée par des personnes extérieures à la vie opérationnelle. Or, ces
« filtres » empêcheraient, selon les individus, d’être sensibles à d’autres sources de détection
qui se situeraient aussi et surtout au niveau opérationnel. Ils empêcheraient également d’être
« surpris », au sens de la notion de « surprise » développée par F. Koornneef [Hale 2000] qui
signifie une capacité à capturer un événement indésirable ou inattendu.
Nous voyons quatre cas de figure intéressants :
 les opérateurs détectent ces anomalies et rattrapent la situation ; cela sous-entend que ces
anomalies sont connues et que des procédures ou des pratiques existent pour les traiter ;
 les opérateurs détectent ces anomalies mais ne disposent pas d’outils pour les traiter ni
pour les transmettre ;
 les opérateurs détectent ces anomalies, les transmettent mais leur message est ignoré ;
 les opérateurs ignorent ces anomalies faute de connaissance, d’expérience ou d’attention.

Nous pensons donc que la détection de ces anomalies appartient surtout aux mécanismes de
jugement et d’interprétation des informations en situations de travail. Un travail de connais-
sance de ces mécanismes et de catégorisation des anomalies serait intéressant pour mettre en
place des barrières de sécurité dès le niveau opérationnel.
Des outils fragmentés. À ce manque de lisibilité des anomalies pourtant détectées à travers
ces outils, s’ajoute une difficulté à les mettre en lien avec l’ensemble des données sur la
sécurité :
 les outils de remontée des anomalies et des événements significatifs (REX, Rapports
d’accidents) sont utilisés et gérés par des services différents : maintenance, sécurité,

52
3.4. Conclusion : premiers résultats et perspectives

inspection, HSE. À titre d’exemple, le REX est géré par la Sécurité, les études de danger
par l’Environnement, les anomalies techniques par la Maintenance ;
 ces outils renseignent des Bases de Données différentes ;
 cet éclatement des données au sein du site empêche ainsi la mise en lien des informations
entre elles ;
 l’entité en charge de coordonner les données liées à la sécurité rencontrerait des difficultés
pour leur donner du sens.
Ces données s’accumulent et le site pétrochimique (constat à confirmer sur le site sidérurgique)
aurait des difficultés à en extraire des informations (c’est-à-dire des connaissances de ses
risques). Nos observations et les entretiens réalisés nous permettent de soulever les questions
suivantes :
 Les données « anomalies » sont-elles mises en lien ? Les données « anomalies » et « évé-
nements significatifs » sont-elles mises en lien ?
 Quelle entité a la responsabilité de cette activité ?
 Quelle méthodologie est suivie pour mettre en lien des informations ?

Ce diagnostic encore provisoire et assez large peut surprendre à plusieurs niveaux. D’une part,
les analyses que nous fournissons dans ce document « dépassent » l’unique problématique
des signaux faibles. L’approche que nous avons adoptée nous a en effet permis d’élargir notre
étude et de révéler des dimensions plus profondes, plus organisationnelles. D’autre part, et
par voie de conséquence, les recommandations que nous formulerons ne seront pas des outils
« prêts a l’emploi » mais bien des actions « de fond » demandant une participation des acteurs
de terrain.

Un Système de Management de la Sécurité linéaire et rigide

Avant toute chose, rappelons que nos observations prennent en compte les signaux faibles
détectés au niveau opérationnel et que les conclusions ne peuvent être, par conséquent, valables
pour des observations qui auraient été menées à un niveau « management site », raffinerie et
groupe. Nous souhaitons ici revenir sur trois éléments importants dans le blocage du traitement
des signaux faibles :
Une analyse des accidents linéaire et causale. Les entretiens et les cas d’accidents relevés
nous ont pour le moment montré que les problématiques liées à la sécurité émergent souvent à
l’occasion d’un accident plus ou moins grave. Plus exactement, les efforts de recueil de données
et d’analyse sont réalisés lorsqu’un événement survient, ce sont les rapports d’enquête. Le
modèle d’analyse des événements utilisé sur le site correspondrait à ce que N. Leveson appelle
« event-chain model » [Leveson 2004, p. 240]. La raffinerie utilise largement une méthode de
causalité et plus spécifiquement l’Arbre des Causes pour analyser les événements de gravité A
(sérieux). Malgré cette forte volonté d’appréhender la dimension organisationnelle, l’analyse
se porte surtout sur la détection de l’événement initiateur — technique — comme étant la
cause de l’accident, la recherche d’un responsable et des actions correctives techniques. Cet
outil d’analyse ne prendrait en compte que les éléments intervenant en bout de « chaîne » ne
permettant ainsi qu’une compréhension partielle de l’accident. Par conséquent, les analyses
parviennent difficilement à identifier des facteurs organisationnels ou des configurations
récurrentes.
Les travaux de [Leveson 2003, 2004], mais aussi ceux de [Woods 2003], ont montré les limites de
ces modèles. Plusieurs caractéristiques les définissent selon N. Levenson. Premièrement, ils
permettent d’expliquer les accidents comme une suite d’événements séquencés (logiquement)
comme une chaîne à travers le temps. Ensuite, le choix des événements à inclure dans cette
chaîne ainsi que l’explication restent souvent subjectifs. Enfin, la sélection de l’événement
initiateur est souvent arbitraire. N. Levenson déplore le fait que ce type de modèle concentre
l’explication des événements précédant immédiatement l’accident.
Un management de la sécurité principalement réactif. Ceci découle directement de la
section précédente. Malgré le déploiement et l’utilisation d’outils permettant de détecter les
anomalies en amont des événements, les REX (analyse de l’accident, diffusion des leçons…)
sont surtout mobilisés après la survenue d’un accident.

53
Facteurs socioculturels du REX

Une communication à sens unique : communication top-down3 (cf. Figure 3.4).

emetteur/législateur codage message décodage destinataire/opérateur

Fig. 3.4 – Modèle de communication linéaire adapté de Adler et al. (1983)

En résumé, la difficulté à traiter et donner sens aux signaux faibles est liée à :
 une gestion des informations de la sécurité procédurale et fragmentée ;
 une accumulation de données rendant difficile la lecture et l’extraction de données perti-
nentes pour le traitement des signaux faibles ;
 un manque de coordination et de mise en lien entre les informations recueillies ;
 des analyses d’accidents linéaires et causales ne prenant pas toujours en compte les
dimensions organisationnelles qui influencent le système de management et les capacités
a traiter les signaux faibles. Il s’agit d’une des principales faiblesses identifiées ici, plus
particulièrement au niveau de la raffinerie ;
 un manque de gestion homogène et globale de la sécurité.

3.4.2 Limites et nouvelles perspectives


A. Hale nous enseigne qu’un système de management de la sécurité est l’ensemble des activités
conduites de manière coordonnée pour contrôler les risques présents de manière inhérente à
la technologie du site. Pour qu’il soit efficace, le SMS doit être vu comme une activité intégrée
à toutes les autres tâches de ceux qui travaillent dans et pour l’organisation.
Le diagnostic provisoire que nous avons établi nous permet d’orienter les pistes d’action vers
une méthodologie permettant :
 de reconnaître / catégoriser / traiter les signaux faibles ;
 de donner un sens global et homogène aux données relatives à la sécurité recueillies sur
le terrain.
Nous proposons de procéder de la manière suivante :
 réalisation de restitutions auprès des acteurs de terrain afin de « valider » des résultats ;
 organisation d’un ou plusieurs groupes de travail avec les acteurs concernés (sécurité,
qualité, maintenance, secteur opérationnel) visant à répertorier les outils utilisés, les bases
de données renseignées, les analyses faites de ces données et enfin leur coordination ;
 construire des pistes d’action, en collaboration avec les acteurs volontaires, aidant à la
création d’une méthodologie commune de recueil et d’analyses des données liées à la
sécurité (événements significatifs, anomalies, défauts techniques etc.).
La notion de signal faible se forge progressivement une place dans les travaux académiques et
dans le milieu industriel. Elle permet en effet un spectre large de questionnement et semble
se développer dans plusieurs domaines comme la veille stratégique, les risques sanitaires
et industriels. Ces signes précurseurs d’accidents ont l’intérêt de pouvoir alerter les entre-
prises d’une dégradation de la sûreté de son fonctionnement et des conséquences potentielles.
Nous nous situons dans une démarche de prévention des accidents majeurs. Nous souhaitons
contribuer à une meilleure compréhension de cette notion dans le domaine académique et
opérationnaliser les signaux faibles afin qu’ils puissent être un outil pratique et pertinent pour
les sites industriels.

3
De la hiérarchie vers les opérateurs.

54
4
Insertion des signaux faibles dans le
système de management HSE d’une
entreprise pharmaceutique

Doctorante Ambre Brizon


Directeurs de thèse Jean-Luc Wybo (Centre de recherche sur les Risques et
les Crises, Mines-ParisTech)
Marc Poumadère (Institut Symlog)
Terrain industriel Sites pharmaceutiques de sanofi-aventis

Pourquoi les signaux faibles ? Commencer ce chapitre par cette question peut paraître un peu
abrupt mais cette entrée en matière a le mérite de poser le socle de notre étude. Dans le monde
industriel, en marge des signes significatifs, « évidents », annonciateurs d’un accident souvent
imminent, sont apparus au préalable des signaux avant-coureurs, signaux dits « faibles » puis-
qu’ils n’ont pas alerté les acteurs concernés sur la survenue possible d’un accident. Les signaux
faibles sont donc, après la conception, ce qu’il y a de plus en amont de la prévention des risques.
Leur détection, leur communication et leur interprétation pourraient permettre de prévenir
les événements majeurs. Cependant, si leur détection n’est pas aisée, les difficultés peuvent
aller croissantes lors de leur communication puis de leur interprétation. Leur interprétation
pose problème car le signal est « faible » et souvent difficile à relier à un événement majeur.
Par ailleurs, comme nous le détaillerons plus loin (cf. Section 4.1), un lien statistique a été établi
entre accidents de gravité différente : dans un système industriel, plus le nombre d’incidents
est élevé, plus le risque de voir survenir un accident grave est grand. Cela met l’accent sur
l’importance qu’il y a à tenir compte des signaux faibles annonciateurs d’incident et pas
seulement de ceux précurseurs d’accident majeur.
Pendant longtemps, les chercheurs ont réalisé des études rétrospectives sur les signaux faibles.
Cependant, ce n’est pas en établissant une liste de signaux « valables » pour un accident que
l’on pourra prévenir tous les accidents suivants. Les chercheurs et les industriels cherchent
donc de nouvelles solutions pour améliorer la prise en compte de ces signaux faibles, afin de
limiter le nombre d’incidents dans l’optique de diminuer blessures et accidents majeurs, voire
mortels.

Dans le cadre de cette thèse, notre objectif de recherche est d’étudier les difficultés de
prise en compte et de remontée des signaux faibles pertinents pour l’hygiène et la
sécurité industrielles et de proposer des pistes d’amélioration. Nous voulons mettre en
place une boucle de progrès continu, dont la vigilance face aux signaux faibles, le retour
d’expérience (REX) et la culture de transparence sont parties intégrantes.

Tout d’abord, dans une première partie, nous proposerons une définition des signaux faibles et
dresseront un état des lieux de leur gestion au regard du contexte de l’hygiène et de la sécurité
en France et chez notre partenaire industriel, sanofi-aventis. Nous présenterons dans une
deuxième partie la dynamique de progrès dans laquelle nous souhaitons inscrire notre travail

55
Facteurs socioculturels du REX

et les apports que nous en attendons pour une meilleure sécurité. Nous situerons ensuite le
cadre théorique de notre recherche en présentant les travaux antérieurs sur lesquels nous nous
appuyons. Enfin, pour conclure, nous positionnerons notre travail par rapport aux recherches
existantes et préciserons nos perspectives d’étude.

4.1 Importance de la gestion des signaux faibles


En France, des catastrophes comme l’explosion d’AZF ou encore le naufrage de l’Erika auront
été dramatiques pour les victimes et très préjudiciables aux industriels. La réparation de ces
deux événements aura, par exemple, coûté à Total l’équivalent de plus de soixante-dix ans
de fonctionnement des DRIRE. Plus de six ans après, les procès sont toujours en cours, les
amendes n’ont toujours pas été fixées, les coûts en terme de politique, d’image ou encore
financiers sont loin d’être soldés. Dans ces deux cas, comme dans beaucoup d’autres, une
meilleure prévention aurait sans doute pu éviter la catastrophe.

L’accident de l’Erika

Lors d’un contrôle effectué le 23 novembre 1999, BP a fait vingt-trois observations et relevé quatre
non-conformités qui l’ont conduit à déclarer le navire « inacceptable ». Le samedi 11 décembre
1999, l’Erika signale une avarie et les conditions météorologiques sont très mauvaises. Un peu plus
tard, il annonce que l’avarie est réglée. Le capitaine parle de fissures sur le pont. Le dimanche 12
décembre 1999, le capitaine lance un appel de détresse. Quelques heures plus tard, le navire se casse
en deux et libère 10 000 tonnes de fioul. Pour l’heure, juste pour Total, cet accident a coûté environ
200 millions d’euros.

Cet accident est un bon exemple, récent, pour montrer que les signaux précurseurs existent,
mais que tout le monde n’y est pas sensible : dans ce cas, la non-conformité déclarée par BP n’a
pas été prise en compte correctement, les conditions météorologiques et leurs conséquences
potentielles sur le navire non plus, finalement les fissures sur le pont n’ont pas non plus poussé
le capitaine à changer son objectif qui était d’acheminer le fuel et non de faire réparer son
navire. Le problème est que la plupart du temps, les signaux faibles ne sont pas exploités, ou
mal gérés. Une meilleure gestion de ces signaux aurait pour corollaire immédiat une meilleure
prévention des événements majeurs.
Une étude a été réalisée en 1969 sur 1,7 millions d’accidents par une équipe dirigée par
l’assureur F.E. Bird. Cette étude a montré que, pour 1 accident ayant entraîné une blessure
grave ou une incapacité, il est survenu 10 blessures mineures, 30 accidents sans gravité et
600 incidents ou presque accidents. C’est sur cette étude que repose l’idée qu’il ne faut pas
s’intéresser qu’aux signaux faibles annonciateurs d’événements majeurs. Les signaux faibles
précurseurs d’incident ou de presqu’accident sont également pertinents pour la sécurité.
Le point de départ de notre réflexion, sa matière, réside dans l’étude des signaux faibles. Dans
cette partie, nous allons donc dans un premier temps définir ce que sont les signaux faibles.
Nous verrons qu’il existe différents angles d’approche, et donnerons un cadre contextuel à ces
signaux. Nous expliquerons comment ils sont actuellement gérés, tout d’abord dans l’industrie
en règle générale, puis chez notre partenaire industriel sanofi-aventis.

4.1.1 Définition des signaux faibles, origines et faux débats


Si l’intérêt pour les signaux faibles croit depuis ces dernières années, leur découverte a pourtant
été faite dans les années soixante-dix. Ils n’ont cependant pas toujours été dénommés ainsi,
ils ont fait l’objet de nombreuses appellations : signal faible, signal précoce, signal précurseur,
signal latent, etc. En 1968, Leplat parlait des « signaux rares » et de l’apparition d’activités qui
leurs seraient dédiées [Leplat 1968] :

‘‘ Avec les progrès techniques, le travail s’est transformé et sont apparues des activités, caractérisées
essentiellement par des exigences perceptives, en particulier des activités où la fonction essentielle
de l’homme est de surveiller l’apparition imprévisible de signaux rares.

Reason parle en 1990 d’erreur latente qui, selon lui, représente déjà une des plus importantes
menaces pour la sécurité [Reason 1993, p.239] :

56
4.1. Importance de la gestion des signaux faibles

‘‘ Les analyses détaillées des accidents récents, en particulier Flixborough, Three Mile Island, le stade
du Heysel, Bhopal, Tchernobyl et Zeebrugge, tout autant que la catastrophe de Challenger, ont fait de
plus en plus clairement apparaître que les erreurs latentes représentent la menace la plus importante
sur la sécurité d’un système complexe. […] bon nombre de causes premières des situations d’urgence
sont généralement inscrites dans les systèmes longtemps avant que ces erreurs actives ne soient
commises.

Plutôt que de nous intéresser aux différentes dénominations possibles de ces signaux,
interrogeons-nous sur leur intérêt. S’il ne fait pas de doute qu’un événement majeur est
généralement annoncé par des signaux précurseurs, il n’est en revanche pas évident qu’un
signal faible ou un enchaînement de signaux faibles soient toujours suivis d’un événement
majeur [Körvers 2004, p.126]. Pourtant, ne pas y prêter attention est l’assurance de voir naître
encore plus d’accidents, dans des systèmes de plus en plus automatisés, où les ultimes bar-
rières de contrôle et de rattrapage sont humaines. En matière de communication, l’expression
« signaux faibles » est bien perçue par les chercheurs et les hauts dirigeants, en revanche
l’expression « signaux précurseurs » est plus facilement appréhendable par les personnes de
terrain, les opérationnels qui travaillent dans les sites industriels. Le terme « signal faible »
induit une distance difficilement appréciable entre le signal et l’événement annoncé, alors que
« signal précurseur » nous permet de nous affranchir de cette distance et d’être mieux compris
par nos interlocuteurs sur les sites. Le travail présenté ici étant effectué dans le cadre d’une
thèse, nous avons choisi d’utiliser le terme « signal faible » pour une question de simplicité de
communication avec les chercheurs.

Un signal faible

DEFINITION Un signal faible est un signal faible lors des étapes de sa vie (noyé dans le bruit, faiblement informatif,
faiblesse de son émetteur), pouvant signaler l’apparition d’un événement majeur.

Cette définition réclame cependant une précision : lorsque nous parlons d’événement majeur,
nous ne voulons pas dire soudain. La crise de l’amiante est, par exemple, un événement majeur,
mais qui n’a pas été soudain. Le tableau de la sécurité sociale relatif aux maladies dues à
l’amiante date de 1953 !
Claveau et Séville montrent dans [Claveau et Séville 2004] que les signaux d’alerte seront de plus
en plus faibles, car les risques émergeront aux endroits et aux moments les plus inattendus.
Ceci souligne l’importance de mettre en œuvre un management stratégique pour la sécurité,
avec une place pour le tireur de sonnette d’alarme.

4.1.2 La gestion des signaux faibles aujourd’hui


Actuellement, la majeure partie des industries que nous étudions est arrivée à un niveau de
sûreté raisonnable (cf. Figure 4.1).

Fig. 4.1 – Niveau de sûreté de différents secteurs industriels (R. Amalberti)

D’après le Dr. R. Amalberti, les réponses à apporter en matière de sécurité sont directement
liées au niveau de sécurité de fonctionnement où l’on se trouve (un niveau de 10−2 correspond
à un non respect des règles, un niveau à 10−4 correspond à un manque de REX et, finalement,

57
Facteurs socioculturels du REX

les entreprises à 10−6 qui respectent les règles et ont déjà un processus de REX qui fonctionne,
commencent à mettre en place des procédés basés sur le sensemaking 1 ). Une démarche
préventive doit viser à supprimer le danger à la source. Pour ce faire, soit le danger est identifié,
et on tentera de le supprimer (ou de le minimiser au mieux), soit il n’est pas clairement identifié,
et on tentera de le détecter le plus précocement possible. Les signaux faibles sont des signaux
qui peuvent nous prévenir de ces risques. Nous allons ainsi présenter les chiffres français de
la sécurité au travail. Ces derniers nous donneront un aperçu global de la situation, et nous
aiguilleront sur les risques à venir (accidents du travail et surtout maladies professionnelles).
Ensuite, pour bien comprendre les réactions des encadrants face aux risques, nous expliquerons
quelles sont leurs responsabilités.

Les chiffres

En France, les chiffres de la sécurité au travail sont scindés en trois catégories principales :
les accidents du travail, les maladies professionnelles et les accidents de trajet. En 2004 les
chiffres étaient les suivants2 :
 629 décès dus à un accident du travail ;
 581 décès dus à une maladie professionnelle ;
 486 décès dus à un accident de trajet. (Ces derniers constituant une classe à part car située
hors de l’enceinte close du bâtiment, nous ne nous attarderons pas dessus.)
Chaque catégorie correspondait donc à environ un tiers des décès liés au travail en France.
Cependant, le nombre de maladies professionnelles déclarées a été multiplié par quatre entre
1995 et 2005. C’est pourquoi la sécurité sociale, qui s’occupait principalement des accidents du
travail, tire depuis maintenant plusieurs années la sonnette d’alarme auprès des industriels à
ce sujet.

La responsabilité de l’encadrement

Chez sanofi-aventis, les fonctions et les responsabilités du responsable du service HSE sont
très clairement définies. Cependant, il nous est apparu que cette définition était peu connue des
responsables des autres services et sans doute inconnue auprès des autres collaborateurs. Le
chef d’établissement est responsable de la sécurité de ses salariés, il y obligation de « sécurité
de résultat », d’après l’article L 230-2 du Code du Travail :

Article L 230-2 du Code du Travail

« Le chef d’établissement prend les mesures nécessaires pour assurer la sécurité et protéger la santé
physique et mentale des travailleurs de l’établissement […] ».

Cependant, cette responsabilité n’incombe pas uniquement au chef d’établissement dès lors
qu’il existe une délégation de pouvoir. Celle-ci repose sur des critères de compétences, d’auto-
rité et de moyens.

Accident de la Mède

Après l’accident de la Mède, qui a eu lieu le 9 novembre 1992, neuf cadres de Total, mais aussi deux
fonctionnaires de la DRIRE ont été poursuivis.

L’obligation de sécurité au travail et de prévention des maladies professionnelles demande


au chef d’établissement et, par délégation de pouvoir, à la hiérarchie de son établissement, de
tenir compte de tous les signaux faibles pouvant annoncer un événement majeur.

1 Littéralement : « Fabriquer du sens ». Cette notion sera explicitée plus loin dans le texte, cf. Section 4.3.2.
2
Chiffres issus de l’INRS et de la CNAMTS.

58
4.1. Importance de la gestion des signaux faibles

4.1.3 La gestion de l’HSE en France et chez sanofi-aventis


Le nombre total de décès au travail en France pour l’ensemble des industries est en nette
diminution. Il était de 1423 en 1980, de 712 en 1995 et de 629 en 2004. Par contre, le nombre de
maladies professionnelles déclarées est passé de 17 489 en 1999 à 36 871 en 2004. Si le nombre de
décès au travail a chuté entre 2000 et 2004, c’est parce que la sécurité sociale a très fermement
demandé de mieux protéger les travailleurs en hauteur (la majeure partie des décès était due
à des chutes de hauteur). Ces chiffres nous montrent que, lorsqu’une action en sécurité est
faite, les résultats peuvent suivre. Cependant, ces chiffres témoignent également de l’explosion
du nombre de maladies professionnelles. Dans les métiers de la chimie, de la plasturgie et
du caoutchouc en particulier, elles sont passées de 655 en 1999 à 1300 en 2004. L’ensemble
des industries a conscience de cette explosion et du fait qu’il ne s’agit malheureusement que
d’un début (le pic des déclarations de maladies dues à l’amiante est attendu pour 2020). Les
chiffres de sanofi-aventis, même s’ils situent l’entreprise en bonne place, peuvent malgré tout
être améliorés et ce particulièrement pour les métiers de la pharmacie, où ils sont moins bien
maîtrisés que dans les autres métiers (chimie, recherche, vaccin). C’est pourquoi sanofi-aventis
a la volonté d’intégrer au maximum le management HSE dans le management quotidien.
Dans un premier temps, nous donnerons une définition de ce que sont la sécurité (le S de HSE)
et l’hygiène industrielle–santé au travail (le H de HSE) sur les sites sanofi-aventis. Une fois
le contexte actuel posé, nous bénéficierons d’un cadre permettant de mieux expliquer ce que
représentent les signaux faibles sur notre terrain industriel.

Un système de management HSE

DEFINITION « Un système de management HSE est un ensemble de dispositions mises en œuvre par l’exploitant
au niveau de l’établissement, relatives à l’organisation, aux fonctions, aux procédures et aux res-
sources de tout ordre ayant pour objet la prévention et le traitement des problématiques d’hygiène,
de sécurité et d’environnement. » 3

La sécurité

Un système de management de la sécurité (SMS) prend en entrée les textes de la législation,


les règlements internes, les normes, etc. Il se compose de documents, d’outils méthodologiques,
d’outils d’audit, etc. Ce système se veut être intégré dans toutes les fonctions de l’établissement.
Cela étant dit, chez sanofi-aventis, l’investissement du personnel dans les problématiques HSE
peut être variable selon les sites pharmaceutiques (formulation galénique).
Dans un établissement industriel, la sécurité au travail est l’un des éléments du management
intégré HSE. Les sites pharmaceutiques ne présentent pas de risque avec une gravité potentielle
forte (type risque d’explosion comme AZF). C’est pourquoi sanofi-aventis considère que le
risque est inacceptable dès lors qu’il y a une blessure grave sur un collaborateur avec une
fréquence de 10−2 , ce qui est inférieur d’un ordre de grandeur au risque de mort violente dans
l’ensemble de la population française. Pour mesurer les risques, sanofi-aventis possède une
matrice de criticité, l’ensemble de ses risques identifiés est entré dans cette matrice, et les
mesures d’actions sont priorisées en fonction de leur position.

Exemple chez sanofi-aventis

Lorsqu’il y a un accident, un arbre des causes (AdC) doit être réalisé le plus tôt possible (généralement
quand la personne accidentée reprend son activité). Cet AdC doit être géré par un garant de la
méthodologie AdC, qui ne fait pas forcément partie du service HSE. Sur certains sites, pourtant, le
personnel du service HSE est systématiquement obligé de gérer l’AdC.

3
Source : transcription de la directive Seveso II en droit français, Annexe III de l’Arrêté du 10 mai 2000 ; http :
//aida.ineris.fr/textes/arretes/text3044.htm.

59
Facteurs socioculturels du REX

L’hygiène industrielle

L’hygiène industrielle, quant à elle, a le léger avantage de posséder une méthodologie unique
d’évaluation du risque chimique. Cet avantage reste cependant modéré car certaines incom-
préhensions persistent sur les sites de production.

L’hygiène industrielle chez sanofi-aventis

DEFINITION « L’hygiène industrielle est la science et l’art de prévenir les atteintes à la santé liées au travail
(maladies professionnelles au sens large) en anticipant, identifiant, évaluant et maîtrisant les risques
pour la santé dans l’environnement de travail. »

L’hygiène industrielle fait partie d’une entité plus importante qu’est la Santé au Travail. Cette
dernière a pour objectif de protéger la santé des salariés. Par sa définition, l’hygiène industrielle
est davantage axée sur le risque produit4 que sur le risque procédé5 , dans une optique
de prévention, de traitement des causes avant celui des conséquences. Le risque est calculé
comme le produit d’un danger par un niveau d’exposition et n’est plus, comme du point de
vue de la sécurité, celui d’une fréquence par une gravité.
L’hygiène industrielle fait appel à une méthodologie qui se rapproche de celle mise en œuvre
pour la sécurité :
1. identification ;
2. évaluation ;
3. maîtrise et communication ;
4. mesures de contrôle.
L’hygiène industrielle s’attaque à des dangers très variés, principalement d’origine chimique
et physique. Les dangers d’origine chimique sont généralement liés aux produits manipulés
(principes actifs, excipients, etc.), et ceux d’origine physique, à l’environnement de travail
(bruit, mauvaise ergonomie, etc.).
Face à tous ces dangers, existent des normes fixées, soit par la réglementation (niveau d’expo-
sition au bruit, mesure d’exposition à l’acétone, etc.), soit en interne (dans ce cas, il s’agit de
normes soit plus restrictives que celles de la réglementation, soit spécifiques à des produits
internes à sanofi-aventis).
On réalise pour chaque produit une Fiche de Données de Sécurité, sur laquelle sont notifiés :
1. identification du produit et de la société ;
2. composition, information sur les composants ;
3. identification des dangers ;
4. mesures de premiers secours ;
5. mesures de lutte contre l’incendie ;
6. mesures à prendre en cas de dispersion ;
7. manipulation et stockage ;
8. contrôle d’exposition, valeur limite d’exposition, valeur moyenne d’exposition ;
9. propriétés physiques et chimiques ;
10. stabilité et réactivité ;
11. informations toxicologiques ;
12. informations écologiques, effets sur l’environnement ;
13. considérations relatives à l’élimination ;
14. informations relatives au transport ;
15. informations réglementaires ;
16. autres informations ;

4 Risque lié à la manipulation d’un produit.


5
Risque associé aux opérations le long de la chaîne de production.

60
4.1. Importance de la gestion des signaux faibles

conformément à la norme NF T01-102 (elle-même conforme à la norme ISO 11-014).


L’hygiène industrielle et les autres métiers relatifs à la santé au travail essayent donc de
prévenir, généralement au long terme, les risques de maladie professionnelle.

Les signaux faibles et le management HSE

Au sein du service HSE, l’étude des signaux faibles consiste à prendre en compte des signaux
permettant de prévenir les atteintes à la santé et la sécurité des travailleurs sanofi-aventis.
Comme signifié dans sa dénomination, le service HSE traite également des problèmes d’envi-
ronnement (le « E » de HSE). Cependant, cette problématique ne concernant pas directement
la sécurité et la santé des travailleurs, nous ne traiterons pas ce sujet.
La première difficulté avec les signaux faibles concerne leur détection. Celle-ci est très difficile
lorsque ces signaux sont inconnus et une réelle problématique réside également dans la
visibilité des signaux, s’ils sont peu ou pas perceptibles…

Exemple de non-détection

Une coupure avec du sang pourra être perçue comme un signal, un point d’entrée pour une infection
par exemple. En revanche, un coup sans sang ni bleu immédiat, sera rarement perçu comme tel
(sauf douleur intense) et ne sera donc pas signalé.

Ainsi, un signal sans trace visible pourra être ignoré, alors qu’un autre de même intensité
mais immédiatement perceptible à l’œil sera relevé. Cela nous éclaire un peu sur la notion de
faiblesse du signal.
Cependant, dans l’étude des signaux faibles persistent d’autres problèmes… Où est l’anormali-
té ? Qu’est-ce qui est potentiellement grave ? En plus de leur détection, se pose le problème de
la communication et de l’interprétation des signaux faibles. Nous avons pu observer ces trois
difficultés au sein de sanofi-aventis.

Exemple de mauvaise interprétation

L’usage d’une bombe aérosol (contenant des gaz inflammables), fait réagir les gens sur le risque
environnemental, mais pas sur le risque explosion ; l’utilisation de poudre (en zone ATEX) fait
réagir les gens sur le risque maladie professionnelle, mais pas sur celui d’inflammation : problème
d’interprétation.

Chaque réunion du Comité de Direction, dont le compte-rendu est transmis aux opérateurs,
doit commencer par un point sécurité. Quand l’information sur la sécurité arrive aux opérateurs,
elle a tout le poids de la hiérarchie (et tout ce que cela induit comme lot de bon et de mauvais
a priori). Par contre, lorsqu’un opérateur souhaite remonter une information, il est seul. C’est
à lui seul qu’incombe de donner une force suffisante à son message : il se heurte alors à un
problème de remontée du signal, un problème de communication ascendante.
Finalement, le problème peut concerner l’interprétation qui est faite d’une certaine situation.

Exemple de situation mal interprétée

Sur l’un des sites, le personnel s’était rendu compte que le mouvement de la porte principale,
vitrée, posait un problème. Mais ce n’est qu’une fois la survenue d’un accident (une personne s’est
violemment cognée), qu’il s’est aperçu que le risque ne venait pas de l’ouverture intempestive
de la porte, mais de sa fermeture. La fermeture trop rapide d’une porte en verre pouvant passer
inaperçue.

Ainsi, la connaissance semble faire défaut dans un bon nombre d’incidents, mais le manque
d’analyse des causes réelles ainsi que la pression économique qui pèse sur les manageurs
sont aussi à prendre sérieusement en compte. C’est pourquoi nous avons rapidement décrit
la responsabilité de l’encadrement plus en amont. C’est aussi pourquoi il est nécessaire de
davantage développer le REX : l’analyse des incidents, la facilitation de la communication sur
la sécurité, le partage de l’information, la dispersion des connaissances, etc. À présent que
nous avons décrit le contexte et donné le cadre de notre recherche chez sanofi-aventis, nous
allons expliquer quels sont les apports de la recherche dans la prévention des risques et vers
quelle politique devrait idéalement tendre l’entreprise.

61
Facteurs socioculturels du REX

4.2 La politique de transparence nécessaire à la mise en place du REX


De par nos travaux, nous nous attacherons à montrer comment une meilleure gestion des si-
gnaux faibles notamment au travers du REX, pourrait améliorer la prévention dans le domaine
de la sécurité et dans celui des maladies professionnelles. Nous verrons également quelle place
est faite à la prévention dans la législation et nous soulignerons l’importance de mettre en
place une politique de transparence pour améliorer la sécurité et la santé des travailleurs.

4.2.1 À l’origine de la prévention


Tout d’abord, pour pouvoir faire du REX, partager des connaissances sur la sécurité et ainsi
détecter plus précocement des signaux faibles, il est souhaitable que les différents sites soient
uniformisation des au même niveau d’avancement en santé et sécurité. C’est pourquoi une des premières actions
pratiques sur les à mener sur les sites pharmaceutiques sanofi-aventis est d’uniformiser les pratiques (les
différents sites méthodes, ERPT6 , communication, AdC, etc.). Un même niveau de maîtrise des risques induirait
que les sites aient des outils globalement similaires, cette harmonisation permettrait ensuite
une meilleure fluidité des échanges.
Actuellement, la prévention pour les opérateurs passe par l’évaluation des risques au poste de
travail (ERPT). Cette évaluation peut être faite sur tout type de risque, les deux principales
familles étant les risques physiques (bruit, éclairement, manutention manuelle, chute de
hauteur, etc.) et chimiques (toxicité du produit manipulé). Dans ces cas, les signaux sont
connus, ils peuvent souvent être mesurés. De plus, si le danger n’est pas imminent, ces signaux
ont malgré tout de fortes chances d’être détectés et pris en compte lors de la mise à jour —
souvent annuelle — de l’ERPT. Ainsi, la détection et la prise en charge des signaux faibles le
plus précocement possible permettront d’éviter ces risques. L’intérêt d’éviter les accidents liés
à ces risques, est de rester dans un univers souvent connu de l’opérateur lorsqu’il s’agit de
sécurité, et dans celui du médecin du travail lorsqu’il s’agit de santé. Chacun de ces deux types
d’acteurs ayant sa propre expertise des risques. Le problème des signaux devient plus épineux
lorsque l’on sort de ce cadre formalisé. Lorsque le signal est nouveau, qu’il n’est pas détecté
lors de l’ERPT (ou lors de tout autre type d’observation dédié à la détection d’anomalies), ou
que son intérêt n’a pas été clairement formulé. La prévention par les signaux faibles : détection
des anomalies, analyse des incidents, permettrait une meilleure gestion des risques invisibles
à première vue. Ainsi se pose alors la question de la visibilité du signal :
visible ;
invisible ;
camouflé ;
avant celle de sa détection :
vu ;
non vu.
Dans le cas des maladies professionnelles, la sécurité sociale édite des tableaux où sont notifiées,
pour chaque maladie, les activités qui lui sont potentiellement reliées. Il s’agira donc de
symptômes qui, s’ils sont pris en compte assez tôt, permettent d’éviter la maladie, mais aussi
d’environnements de travail pour lesquels une vigilance particulière doit être portée par
rapport à certaines maladies professionnelles qu’ils sont susceptibles d’engendrer. De plus,
dans les grandes entreprises, les médecins du travail vont faire de plus en plus d’efforts pour
amener les personnes à venir faire des déclarations précoces d’anomalies. Par exemple, une
personne qui fera une réaction cutanée à un produit ne pourra plus travailler à son contact.
Les entreprises mettent alors en place une politique de poste aménagé. Dans ce cas, l’expertise
est en quelque sorte fournie par la sécurité sociale, et le véritable problème viendra lors de la
phase de détection.
Rappelons ici que la méthodologie générale de l’hygiène industrielle passe par quatre phases :
identification (ou détection) ;
évaluation, quantification ;
maîtrise ;
contrôle et réévaluation.
Nous voyons donc que c’est dans la première étape que se joue l’essentiel d’une bonne gestion
de ces signaux faibles.

6
Évaluation des Risques au Poste de Travail.

62
4.2. La politique de transparence nécessaire à la mise en place du REX

Dans la réglementation Française7 , selon les recommandations INRS8 mais aussi les normes
ISO9 , les prescriptions pour la maîtrise des risques passent d’abord par la suppression du
danger à la source. Viennent ensuite les mesures de confinement (protections collectives puis
individuelles). Dans le doute (signaux faibles difficilement interprétables), et particulièrement
dans le domaine de l’hygiène industrielle, les médecins favoriseront l’arrêt des contacts avec
le produit en cause.

4.2.2 La politique de transparence


De nombreux auteurs ont montré l’importance qu’il fallait attacher aux signaux faibles, mais
la culture de transparence paraît elle, moins évidente. Le but est d’arriver à une organisation
véritablement transparente, c’est-à-dire une organisation au sein de laquelle les informations
circulent librement. Pour cela, les directions des établissements doivent afficher une politique
de transparence. Cette politique est difficile à mettre en place, car elle ne doit pas s’accompa-
gner de sanctions qui stopperaient la remontée d’information, mais elle ne doit pas non plus
infantiliser les individus en les déchargeant de toute responsabilité. Beaucoup d’organisations
réclament du bottom-up (des opérateurs vers le haut de la hiérarchie) sans lui donner de
véritables outils, alors que la redescente de l’information (top-down : de la hiérarchie vers les
opérateurs), elle, peut profiter de toute l’organisation, de son poids, de ses outils. La culture de
transparence ne peut, selon nous, être instaurée sans un climat de sécurité. Le climat étant le
reflet des motivations et des comportements individuels pour la sécurité [Neal et Griffin 2004],
c’est lui qui fera que l’information remontera ou non et qui fera que l’information transmise
sera entendue par les personnes.
Le REX fait partie des principaux piliers de cette politique. Il ne doit pas s’arrêter à l’accidentel, multiplier les objets
il doit apprendre d’un maximum de situations (les accidents, mais aussi les bonnes pratiques du REX
et les exercices) et faire de la prévention le plus précocement possible par la détection des
signaux faibles.
Le REX traverse toute l’organisation : il démarre des métiers, voit quels sont leurs problèmes, transversalité du
les anomalies qui peuvent être détectées (fiche d’incident, détermination de bonnes pratiques, REX
etc..
Le REX circule ensuite via un réseau d’acteurs et peut aider à la mise en place de nouvelles
règles au sein de l’organisation (club REX, règles groupe, etc..) ; finalement, il atteint le système circulation du REX,
de management, en permettant de montrer davantage de feedback vers les individus de terrain. feedback
Le système de management de la sécurité doit être un système intégré, au sens où il n’est pas
l’affaire d’un groupe dans l’organisation, mais doit être intégré au travail de chacun. Ce système SMS intégré
de management doit donc proposer des outils adaptés aux différents collaborateurs, mais aussi
créer les occasions permettant cette utilisation. Selon les personnes, les outils peuvent être
des bases de données informatisées comme une simple feuille papier. Les occasions quant à
elles peuvent se créer lors de réunions d’équipe (à thèmes par exemple), lors de pauses café
ou simplement au cours de la visite du responsable du service HSE ou du médecin du travail
dans les ateliers où l’on a l’opportunité de se serrer la main et de discuter.
Cependant, ce système est un vœu pieux, et il ne peut exister sans une organisation résolument
tournée vers la circulation de l’information. L’apprentissage reste la première barrière face aux formation,
risques. L’organisation doit donc également permettre aux individus de se former, de s’exercer apprentissage
et de montrer à ces personnes quand elles peuvent tirer profit de cet apprentissage. On voit
ici que le REX est intrinsèquement lié à la politique de transparence, à une communication
qui devrait arriver à se faire librement et sans perte d’information. La mise en place d’un vrai
système de REX, serait donc un premier et fort engagement vers cette politique de transparence.

7
Code du Travail article L 203-2-II.
8 http ://www.inrs.fr/
9
norme ISO 11-014, norme NFT01-102.

63
Facteurs socioculturels du REX

4.2.3 Approche méthodologique


Rappelons que l’objet de notre étude est la compréhension et la gestion des signaux faibles.
Elle a pour but de trouver un moyen pour aider les manageurs à mieux prendre en compte
les signaux faibles. Cette prise en compte passe, comme nous l’avons dit, par l’amélioration
des connaissances, de la circulation de l’information, mais aussi de l’apprentissage, et donc du
REX.
Nous partirons d’une première hypothèse qui est que les acteurs de terrain ne réfléchissent
pas vraiment sur les signaux faibles et ne leur accordent que peu d’importance car ils n’ont
pas d’organisation faite dans ce sens. Notre seconde hypothèse est que les acteurs ayant
véritablement un pouvoir d’action sur ces signaux faibles sont les responsables de terrain,
mais ces signaux aboutissent rarement à une action. Partant de ce constat, il nous faut donc
savoir ce que les acteurs entendent par signal faible, mais aussi connaître l’environnement
dans lequel ces acteurs se trouvent ainsi que les mécanismes qui régissent cet environnement
(objet, politique, relations, …). Nous avons choisi d’aborder notre étude par une approche
systémique.
Les méthodes d’observation que nous avons choisi d’utiliser se basent sur le principe de la
recherche-action. Lewin est le père de la recherche-action [Lewin 1964]. Elle ne doit pas chercher
à trop abstraire, mais rester dans le réel et chercher les interactions, finalement donner du
feedback. Selon [Dubost 1987], il existe quatre critères à satisfaire simultanément pour pouvoir
parler de recherche-action :
1. Il s’agit d’une expérience s’inscrivant dans le monde réel : ici, les ateliers d’usine.
2. Cette expérience est engagée sur une échelle restreinte : nombre limité d’ateliers.
3. En tant qu’action délibérée visant un changement effectif au niveau des groupes et zones
concernés, elle se définit par des buts qui peuvent être fixés soit par les initiateurs du
projet et des instances centrales de pouvoir qui leur donnent une position d’autorité sur
la population concernée, soit par l’ensemble ou un sous-ensemble des individus et des
groupes : engagement d’un financement de thèse sur ce projet.
4. Elle est conçue dès son engagement pour permettre d’en dégager des enseignements
susceptibles de généralisation : buts énoncés ci-dessus.
Elle doit donc accepter une certaine discipline — règle ou dispositif — permettant l’observation,
la récolte d’informations, etc.
Nous avons donc choisi plusieurs approches. La participation à de nombreuses réunions
où nous pouvons identifier ce qui fait la connaissance et la performance des acteurs. Cette
participation permet également un gain de confiance et de légitimité auprès des acteurs
décisionnaires. Des discussions avec les opérationnels comme les personnes du central
pendant les pauses déjeuner ou café, permettant la récupération de remarques échangées « en
particulier », ces remarques permettant ensuite de compléter, d’affirmer ou d’infirmer certains
points de vue développés pendant l’étude. Des questionnaires ouverts, quoique difficiles à
analyser, peuvent montrer ce que les acteurs comprennent spontanément par « signal faible »,
mais aussi ce qu’ils en attendent (une meilleure prise en compte ou au contraire une mise à
l’écart plus ou moins volontaire par faute de temps…). Enfin, des interviews ludiques sous
formes de jeu des sept erreurs permettant la classification des signaux détectés et celle de ceux
non détectés ainsi que des entretiens semi-directifs pour suivre le chemin de l’information.

4.3 Méthodes et théories


4.3.1 Pour comprendre
Plusieurs grands auteurs se sont déjà intéressés aux signaux faibles, qu’il s’agisse de Reason
avec l’erreur humaine, Vaughan avec la normalisation de la déviance, la pyramide de Bird,
Leplat avec les signaux rares, Perrow avec les accidents normaux, etc.. Chacun les dénommaient
d’une façon différente, mais le souci était toujours de remonter jusqu’à la source du problème
afin d’en dégager les signaux annonciateurs.
Nous ne cherchons pas à étudier l’attitude d’une personne seule, en temps de crise, c’est
pourquoi nous avons tout d’abord étudié la théorie des groupes, afin de poser le contexte
humain autour des collaborateurs.

64
4.3. Méthodes et théories

Lewin a travaillé sur la notion de groupe et mis en évidence la « dynamique de groupe ».


D’après lui [Lewin 1964], le groupe se définit par les interdépendances entre ses membres et
non leurs similitudes. Concernant la manière de diriger un groupe, il montre que si l’autorité
permet d’obtenir un meilleur engagement de la part de ses membres, la démocratie, elle,
laisse part à plus d’objectivité. Sur la façon d’obtenir des résultats (changements d’attitudes)
de la part d’un groupe, il montre que la décision de groupe est finalement bien plus probante
(jusqu’à trois fois plus de résultats) qu’une simple conférence.

Style Autocratique Démocratique Laisser faire


Leader Donne des ordres Suggère, encourage Apporte ses connaissances
mais laisse faire
Résultats Réaction agressive du Réactions chaleureuses, Ne réussit ni dans
groupe, rébellion ou amicales, participation, l’exécution du travail, ni
apathie autonomie, indépendance, dans la satisfaction au
production quantitative travail
moins importante que dans
le style autoritaire mais
meilleure qualité

Tab. 4.1 – Typologie des styles de leadership (adapté de Lewin, 1964).

Bales a également étudié les groupes, non pas pour chercher à les faire évoluer, mais d’abord
pour comprendre les dynamiques et les valeurs qui existent en leur sein (ce qui définit en
partie le groupe). Avec sa méthode SYMLOG10 , Bales a réussi à mettre en place un ensemble
d’items qui représentent les valeurs clés du groupe [Bales et Cohen 1979]. Ceci a ainsi permis de
commencer par définir correctement un groupe, ce qui ne va pas de soi lorsque l’on pose la
question spontanément à chaque individu d’un groupe.
Ces deux principaux auteurs, Bales et Lewin, nous ont permis de voir qu’un individu travaillant
en équipe ne peut être considéré individuellement, en tous cas lorsqu’il y a prise de décision.
Mayo nous montre que l’attention des manageurs face à leurs équipes influence fortement
l’évolution de leur travail [Mayo 1933]. Le sentiment d’appartenance est un stimulant pour
la sécurité et pour la motivation. Dans la même direction, nous pouvons également citer les
recherches sur la théorie de l’engagement avec entre autre l’ouvrage de Joule et Beauvois
[Joule et Beauvois 2002], qui fédère un grand nombre des techniques expérimentées dans ce
domaine.
Après avoir obtenu une idée satisfaisante de l’environnement humain, nous avons pu nous po-
ser la question des signaux faibles à détecter. Comme nous l’avons signalé plus haut, plusieurs
auteurs se sont depuis longtemps intéressés à eux, sans les citer vraiment. Le premier à les
mentionner, comme nous l’avons cité en introduction et dans la première partie (cf. Section 4.1),
fut Bird avec sa pyramide des accidents publiée en 1969, en montrant la relation statistique
entre les incidents et les accidents majeurs. Dans son ouvrage [Leplat 1968], Leplat parle des
signaux faibles sous la dénomination de signaux rares. Selon lui les signaux aident à définir
la tâche, ils sont donc qualitatifs, et une réponse à l’événement potentiel peut être déduite
de ces signaux. Cette déduction peut être aisément faite dans le domaine de la qualité et de
l’économie. Le domaine de la qualité est hautement procéduré et contrôlé. Celui de l’économie
est également bien développé au niveau procéduralisation [Lesca 2001]. À première vue, il
serait intéressant de s’inspirer de ces deux secteurs, où les résultats sont présents. Pourtant, à
bien y regarder, les contraintes inhérentes aux signaux faibles dans le champ de la sécurité ne
se retrouvent pas dans ces deux domaines :
 tout d’abord, la détection d’un signal n’est pas un problème, sa pertinence est immédiate-
ment perçue ;
 ensuite, sa communication ne pose pas non plus problème, il existe des outils et surtout
l’information arrive à la bonne personne ;

10
SYstem for the Multiple Level Observation of Groups ; http ://www.symlog.com/internet/what_is_symlog/what_
is_symlog-01c.htm.

65
Facteurs socioculturels du REX

 finalement, son interprétation non plus n’oppose pas de difficultés puisque, comme nous
l’avons dit, l’information arrive à la bonne personne, celle sachant prendre les mesures
en conséquence.
Plus tard, d’autres grands auteurs comme Perrow se sont penchés sur les signaux faibles.
Dans [Perrow 1984] ou encore [Perrow 1999], il explique que les incidents, les erreurs latentes,
bref les signaux faibles, sont dans la construction même des systèmes. Selon lui, c’est la
complexité du système qui fait qu’il déviera naturellement pour en arriver à la catastrophe, les
interactions internes étant trop nombreuses. La complexité, et ainsi le potentiel catastrophique,
sont inhérents à ces systèmes comportant des technologies à hauts risques.
En 1990, Reason publie l’ouvrage Human Error (traduit en 1993 : [Reason 1993]). Il y distingue
deux types d’erreurs :
 les erreurs actives ;
 les erreurs latentes.

Les erreurs actives sont généralement associées aux opérateurs de première ligne et visibles
quasi-immédiatement, alors que les erreurs latentes sont commises par des personnes plus
éloignées des interfaces de contrôle direct (exemple : concepteurs, décideurs de haut niveau).
L’accident est dû a une suite de failles s’alignant parfaitement et permettant de passer au
travers des barrières de défense successives. Les opérateurs sont nécessaires pour rattraper le
système, car les concepteurs ne parviennent pas à anticiper tous les scénarios possibles.
Vaughan s’est aussi intéressée aux signaux faibles, dans son étude sur l’accident de Challenger
[Vaughan 1999], ou encore lorsqu’elle explique sa recherche dans [Vaughan 2003]. Elle y décrit
le phénomène de « normalisation de la déviance ». Son idée est que les causes de l’accident
sont, comme pour Perrow, liées à la construction de l’organisation. Cependant, elle est moins
fataliste, l’organisation pourrait détecter ses failles, apprendre et évoluer en fonction. Dans son
étude, les signaux précurseurs étaient entre autres d’ordre historique, économique, politique
ou encore météorologique.
D’autres auteurs ont également travaillé, de façon plus détournée, sur les signaux faibles
en étudiant la perception des risques. De cette perception va dépendre la méfiance et/ou la
vigilance des personnes. De cette perception va donc dépendre la sensibilité de la personne
face à un type de signal et le déclenchement de l’alarme. Slovic a, par exemple, montré que
la perception des risques était inversement proportionnelle à celle des bénéfices : plus les
bénéfices semblent importants et moins on percevra les risques [Slovic 1993 ; Alhakami et Slovic
1994]. Poumadère et Mugnai montrent l’importance de cette perception dans la création d’une
culture de sûreté [Poumadère et Mugnai 2006].
Il existe donc bien une recherche qui s’est déjà amorcée autour des signaux faibles. Cette
recherche pose toutefois beaucoup de questions, et les pistes de réponse sont minces. De plus,
notre étude s’effectue dans un domaine qui n’est, ni au sein d’une entreprise classée Seveso 2
(risque d’accident majeur), ni au sein d’un public (de plus en plus méfiant et donc vigilant face
aux risques) [Mays et al. 2003 ; Cocquempot et al. 2003]. Nous allons donc nous intéresser dans
la partie suivante aux propositions d’amélioration de la détection, mais aussi aux méthodes
d’investissement du terrain lorsque ce dernier reste nouveau pour les chercheurs.

4.3.2 Pour agir


Il existe plusieurs méthodes pour mener une recherche. En 1995 Weick publie [Weick 1995],
où il décrit la notion de sensemaking. Weick est un constructiviste, d’après lui, chez les
individus les deux étapes « faire » et « expliquer » n’existent pas dans l’ordre « je fais puis
j’explique ». Selon lui, c’est parce que les individus « expliquent » qu’ensuite ils « font » leur
environnement, c’est parce qu’ils expliquent, qu’ils donnent ensuite un sens à leur action. Leur
discours influence leur action. Dans ce cadre là, la communication n’est pas un moyen, mais
une étape. On construit ce qui est à interpréter, c’est le concept d’enactment 11 .

11 Enactment ou énaction en Français. Le concept d’énaction résume dans l’œuvre de Weick la double dimension du
processus de construction opéré par un acteur :

 celle de la représentation de ce qu’il vit comme lui-même et de ce qu’il vit comme extérieur d’une part ;
 celle de l’influence qu’il exerce sur les « objets », par la manière dont il se les représente d’autre part.
(p.77) Bradet J. Énacter l’énaction : une lecture subjective des travaux de Karl E. Weick, pp.75-95, in Autissier D and
Bensebaa F. Les Défis du Sensemaking en Entreprise, 2006, édition economica, 286 pages.

66
4.4. Conclusion : critiques et positionnement

Finalement, concernant les leviers d’action influant sur le comportement des personnes, nous
en avons retenu trois qui nous paraissent suffisamment génériques et pertinents :
 la Vigilance (pour détecter les signaux faibles) ;
 la Confiance (pour que les individus et l’organisation où ils se trouvent puissent évoluer) ;
 la Communication (pour avoir une optimisation des flux d’informations).

Cependant, aucun de ces trois leviers n’est un sujet aisé à résumer. Nous ferons notre possible
pour donner l’essentiel de ce que nous en retirons.
La vigilance porte sur l’ensemble des événements pouvant survenir dans l’environnement du
sujet. Nous mettons cette notion en relief grâce à une autre notion, celle de l’attention qui
focalise le sujet sur un ou plusieurs objets particuliers [Reason 1993 ; Körvers 2004 ; Mevel 2004].
La vigilance vient du latin vigilantia, qui signifie « habitude de veiller ». Dans l’Antiquité on
appelait vigile, le gardien qui était chargé de lutter contre les incendies et de surveiller la
ville. La vigilance est donc un processus que nous qualifierons d’ouvert 12 , à la différence de
l’attention qui est un processus fermé13 . Lorsque vous êtes vigilant, vous pouvez être alerté
(ou simplement interpellé) par n’importe quelle anormalité, alors que si vous êtes attentif, le
champ des alertes est plus restreint, vous avez déjà une idée de ce que vous cherchez. Par
exemple un ouvrier de maintenance ayant plusieurs années de métier sur une machine sera
vigilant face à un dysfonctionnement quel qu’il soit, alors qu’un apprenti sera plus attentif et
se référera à la check-list fournie par le fabricant.
Ensuite, lorsque nous évoquons la confiance, il ne s’agit pas d’une confiance niaise entre deux
sujets, mais d’une confiance calculée. Chacune des deux parties fait confiance à l’autre car elle
sait qu’elle pourra en retirer un bénéfice, cette confiance s’acquiert dans le temps [Poumadère
et Mugnai 2006 ; Slovic 1993 ; Slovic et al. 2004].
Enfin, la communication, ou plutôt les problèmes que son absence génère. Au sein d’une
organisation, la communication ne va pas toujours de soi, il est absolument nécessaire de
donner des outils et de mettre en place une organisation pensée pour l’optimiser [Vaughan 1999,
2003 ; Wybo 2004c ; Slovic et al. 2002].

4.4 Conclusion : critiques et positionnement


La plupart des auteurs cités dans la troisième partie ont permis d’aider à mieux situer les
signaux faibles. Cependant, leurs études portent systématiquement sur des entreprises à
hauts risques. Perrow, Reason, Vaughan, tous partent d’un accident majeur, mais la réalité du
quotidien des entreprises d’aujourd’hui n’est pas à ce niveau. Fort heureusement, les accidents
majeurs sont de l’ordre de l’exceptionnel. De plus, ces études viennent après les accidents,
leur conséquences – souvent graves – vont attiser la curiosité des personnes concernées.
Tout comme le public, les industriels et les chercheurs sont très intéressés par la lecture des
compte-rendus et des analyses d’accidents, car ils ont un besoin impérieux de se rassurer.
En effet, connaître et comprendre les causes d’un accident permet de travailler sur l’origine
de ces causes et éviter des accidents similaires dans l’avenir. Ces études ne se situent plus
dans la prévention « pure », puisque l’accident s’est déjà produit. Les challenges actuels se
trouvent dans les capacités d’anticipation, notamment savoir détecter plus précocement les
signaux avant coureurs d’accidents et de crise, et dans les capacités de résilience, c’est-à-dire
des organisations qui sachent s’adapter aux changements et aux situations imprévues. Ensuite,
le niveau de gravité des accidents n’est plus, en France, comparable à celui d’une catastrophe
comme Tchernobyl. Bien sûr, il y a eu l’explosion d’AZF et il faut continuer à étudier ces
accidents majeurs, mais la réalité actuelle se situe davantage au niveau de l’individu (accident
du travail, maladie professionnelle), dans un périmètre plus restreint.
L’étude des signaux faibles est dépendante de l’environnement dans lequel ils se situent. Dans
les principales approches citées ci-dessus, les individus avaient conscience du potentiel de
dangerosité de leur activité. Sur notre terrain, les individus n’ont pas forcément cette notion
à l’esprit. Cela n’est pas illogique, étant donné que, jusqu’à présent, aucun accident majeur
n’est à déplorer sur un site pharmaceutique.

12 Chateauraynaud F. et Torny D. (2000). Les sombres précurseurs : une sociologie pragmatique de l’alerte et du risque,
Broché, 2000, 476 pages.
13
Charbonnier J. (2004). Dictionnaire de la Gestion des Risques et des Assurances, La maison du dictionnaire, Paris, 559
pages.

67
Facteurs socioculturels du REX

Dans notre travail, nous chercherons donc à voir quels sont les mécanismes actuels et ceux qui
pourraient être mis en place pour arriver à une politique de transparence dans une industrie
sans risque majeur potentiel. Dans un premier temps nous étudierons les mécanismes de
détection du signal. Nous chercherons à savoir ce qui fait la pertinence du signal pour les
acteurs dans l’atelier. Ensuite, comme nous l’avons dit plus en amont, notre recherche se fait
dans un type de milieu qui n’a pas toujours été exploré sous l’angle des risques, dans des
usines à potentiel accidentogène limité. Cela nous emmène vers la notion de recherche-action.
Nous suivrons les quatre critères énumérés par Dubost : l’expérience se situe dans le monde
réel, l’expérience est engagée sur une échelle restreinte, les buts sont fixés par les initiateurs
du projet et des instances centrales de pouvoir et l’expérience est conçue pour permettre d’en
dégager du REX.
Ce dernier point nous conduit à voir quels sont les processus d’apprentissage mis en place
sur notre terrain. Les moyens de communication sont variables, chaque site met en place ses
propres outils. Les outils mis à disposition varient également selon le niveau hiérarchique
de la personne. C’est pourquoi nous verrons comment nous pouvons faire des propositions
pour améliorer cette circulation de l’information. Rappelons que les événements susceptibles
d’arriver sont des accidents de travail et des maladies professionnelles.
Ces dernières années, la tendance à la victimisation de la personne s’est accrue ; les dépôts
de plaintes au tribunal se font de plus en plus courants. La responsabilité de l’encadrement
est donc de plus en plus engagée, et, depuis les années soixante-dix, c’est l’encadrement de
proximité qui est de plus en plus accusé. Le facteur « responsabilité pénale de l’encadrement »
est donc un point important, qui influe sur la gestion du personnel et sur les mesures de
maîtrise des risques qui sont mises en place. Nous l’intégrerons donc au contexte de notre
recherche.
Nous avons donc dans ce chapitre défini ce que nous considérons comme être des signaux
faibles, essentiellement dans le cadre des problèmes d’accident du travail et d’hygiène indus-
trielle. Nous avons également précisé les grandes approches qui ont déjà été faites sur les
signaux faibles, ainsi que notre terrain de recherche. Nous avons ainsi montré que tout n’était
pas forcément exploitable pour notre angle d’étude, les grands travaux précédents ayant
essentiellement porté sur des accidents majeurs, au sein d’entreprises à hauts risques. Cela
nous a conduit à préciser le type d’approche par lequel nous nous engageons, la recherche-
action, qui nous parait être le meilleur moyen d’entrer dans un domaine jusqu’ici boudé par les
grands analystes de risques. Ces problèmes sont en effet moins spectaculaires que les accidents
majeurs, mais ils se trouvent résolument plus en phase avec les demandes sociales actuelles.

68
5
Retour d’expérience et système
d’information pour la gestion des risques :
proposition et expérimentation de
nouvelles pratiques dans le monde
ferroviaire

Doctorante Céline Tea


Directeur de thèse Bertrand Munier (GRID1 , ENSAM/ESTP)
Terrain industriel SNCF

À la fois « processus structuré », « axe de management », « outil de management », et/ou


« démarche » comme l’explique [Gaillard 2005], le retour d’expérience (REX) se présente comme
un objet difficile à cerner. Au sein de la SNCF, le concept de REX est apparu au début des
années 1990. Aujourd’hui, y parler de REX fait référence à la fois :
 au principe fondant la réflexivité du management des risques sécurité2 ;
 à une démarche très formalisée d’enregistrement systématique d’informations sur les
incidents qui constitue une obligation réglementaire3 ;
 à une multitude d’actions ou d’études ponctuelles, a posteriori et a priori.

Les REX nourrissent le système d’information pour le management des risques sécurité en
permettant à tout acteur (concepteurs, managers et opérationnels) d’améliorer sa connais-
sance de l’entité ou du système qu’il pilote. Au sein de la SNCF, la conception générale de
la sécurité ferroviaire était jusqu’alors fondée sur une approche déterministe. Autrement dit,
elle était basée sur la prévision de toutes les situations possibles dont la gestion repose sur un
règlement exhaustif. Toutefois, prenant conscience de l’incertitude inhérente à la complexité
du système ferroviaire, on s’oriente désormais vers les études probabilistes. Ces approches
fondées sur la probabilité d’occurrence des évènements, présentent toutefois la difficulté de
leur compréhension et de leur acceptation par la société (pouvoirs publics et public), en atteste
la recherche du risque zéro.

1
Groupe de Recherche sur le Risque, l’Information et la Décision.
2
Dans le cadre de ce projet, nous traitons de sécurité ferroviaire et plus particulièrement des risques ferroviaires
(risque de collision, risque de déraillement…) générés dans le cadre des deux volets de l’activité ferroviaire : l’activité
de transporteur et l’activité de gestionnaire d’infrastructure.
3
L’article 19 du décret 2006-1279 du 19/10/2006 concernant la sécurité des circulations ferroviaires et l’interopérabilité
du système ferroviaire impose que le système de gestion de la sécurité « explicite les règles, procédures et méthodes
à mettre en œuvre pour atteindre en permanence les objectifs de sécurité mentionnés à l’article 2 » (i.e. les objectifs
de sécurité fixés par le ministre chargé des transports par arrêté). L’article 19 impose aussi qu’il « comporte un
processus permettant de tirer profit de l’expérience acquise ». Ainsi, en extrapolant : l’efficacité du système de
gestion de la sécurité repose dans un premier temps sur la capacité des concepteurs à concevoir des méthodes,
règles et procédures que les opérateurs et les managers doivent mettre en œuvre et dans un second temps sur une
boucle de retour d’expérience.

69
Facteurs socioculturels du REX

Dans le cadre de notre réflexion, nous centrerons notre propos sur la mise en œuvre du
REX : au cours d’une période d’observation des différentes pratiques existantes au sein de
la SNCF, nous nous sommes interrogés sur la manière dont le recueil et l’exploitation des
informations sont réalisés, en vue d’évaluer l’évolution des risques, et sur les conséquences
quant aux décisions prises. L’objectif principal de notre travail consiste à proposer et
expérimenter une aide à la décision outillée intégrant une aide à l’analyse de risques et à
la prise de décision.

Dans une première partie, nous dresserons un bilan de notre observation des pratiques de REX.
Puis, dans une deuxième partie, nous expliquerons dans quelle perspective d’amélioration
de la gestion de la sécurité s’inscrit notre projet d’expérimentation d’une aide à la décision.
Dans une troisième partie, nous présenterons le cadre conceptuel et les corpus disciplinaires
sur lesquels nous fondons ce travail de recherche, ainsi que nos perspectives de recherche.
Finalement, dans une dernière partie, nous présenterons et détaillerons l’aide à la décision à
expérimenter dans le cadre de la thèse et sur laquelle nous pouvons par ailleurs déjà réaliser
quelques retours.

5.1 Le REX à la SNCF


Apprendre de sa propre expérience et de celle de son voisin pour s’améliorer est inscrit
dans la culture des cheminots depuis toujours. Ainsi, de nombreux cheminots interrogés
nous expliquent que « on n’a pas attendu d’inventer le REX pour en faire ». C’est à partir
d’erreurs passées que le système ferroviaire s’est construit, amélioré et a atteint le très haut
niveau de sécurité qu’on lui connaît. Finalement, c’est la traduction du concept de retour
d’expérience en principes intégrés dans sa politique de management de la sécurité (bouclage
des actions, analyse d’accidents…), et la systématisation de la mise en œuvre d’actions dans le
cadre du Système de Management de la Sécurité, qui font naître des démarches de retour
d’expérience au sein de la SNCF dans les années 1990. Dans le document de définition de la
politique générale de sécurité, le REX est défini en ces termes :

Le REX dans la politique générale de sécurité SNCF

DEFINITION « Le retour d’expérience est conçu et réalisé pour aider à détecter les points de faiblesse affectant
la sécurité du système ferroviaire existant. Il consiste d’abord à recueillir les informations sur les
événements relatifs aux différents composants (technique, humain et réglementaire) de ce système
ayant eu des conséquences sur la sécurité ainsi que les informations sur les événements précurseurs
(incidents et quasi-incidents), à les analyser et, enfin, à restituer, aux échelons intéressés, les résultats
de ces analyses (retour d’information) ».

Une démarche REX se présente comme une boucle d’informations au sein de laquelle des don-
nées concernant le système opérationnel « montent » dans l’optique d’ identifier des « points
de faiblesses » à traiter. Tout REX commence par un recueil de données (formulaires et mé-
morisation dans une base de données, avis d’experts, interviews, entretiens semi-directifs),
comprend une analyse des informations suivant les quatre grandes dimensions (homme, orga-
nisation, information, technique) et une « descente » de connaissances, qui se présente sous
la forme de « fiches REX » (rappels de procédures, conseils…) ou de mesures correctives et
préventives.

5.1.1 Quelles pratiques de REX à la SNCF ?


Au sein de la SNCF, le concept de « REX » s’est diffusé autour du triptyque des trois Mieux :
« mieux connaître, mieux comprendre, mieux tirer profit » ; ce « slogan » participait à diffuser
une image d’un REX utile, bénéfique et déconnecté des logiques de contrôle. Il a fallu animer
ce REX, ce qui s’est traduit par la mise en place de multiples pratiques.
Chaque division fonctionnelle (Voyageur, Fret, Infrastructure, Matériel, Traction) possède un
processus de remontée systématique d’informations concernant des événements répertoriés
sur une liste prédéfinie, une typologie particulière (précurseurs, incident, quasi-accident, acci-
dent) et s’appuie sur des bases de données informatiques dont l’exploitation est réglementée
en interne. Une centralisation, garante d’une vision « système » est assurée par une unité de
veille transverse. Globalement, l’objet de ce REX est l’écart à la règle et au fonctionnement

70
5.1. Le REX à la SNCF

« attendu » du système. Il donne lieu annuellement à des statistiques descriptives utilisées


pour l’élaboration des plans d’action sécurité.
De plus, un certain nombre d’études ponctuelles, locales ou nationales sont menées en interne
suite à des accidents graves, à des changements conséquents (réglementaires ou organisation-
nels) ou à une tendance du système inquiétante. Ces actions suivent une méthodologie en
quatre étapes (recueil, traitement, mémorisation, diffusion). Les modalités pratiques changent
selon l’objet du REX (le fonctionnement normal d’une entité, un événement particulier, une
bonne pratique…), l’objectif de l’analyse (modifier le système ou l’apprentissage opérationnel)
et la cible des connaissances construites (opérateurs, concepteurs ou managers).
Enfin, au niveau externe, le Bureau d’Enquêtes sur les Accidents de Transport Terrestre (BEA
TT) réalise une enquête technique qui doit rester bien distincte de l’enquête judiciaire dont
les objectifs (recherche de responsabilité) et les contraintes (notamment de délai) ne sont
pas les mêmes. Le BEA TT, en tant qu’organisme d’État, œuvre pour le bien de la Société
Civile. Il travaille sur un accident précis et émet les recommandations qui, en principe, doivent
permettre à l’entité ferroviaire d’éviter la répétition de l’événement.

5.1.2 Le REX dans sa dimension d’aide à la décision


Pour la SNCF, une maîtrise active de la sécurité s’appuie sur le professionnalisme de ses agents
et la recherche du progrès continu par une remise en question permanente du système. C’est
dans cette optique qu’elle décide de s’adapter continuellement en entreprenant des modifica-
tions, sous la forme d’introduction de nouvelles technologies, de modifications techniques, de
changement d’organisation ou de correction de réglementation.

REX et analyse de risques dans un processus décisionnel


Nous ne nous intéressons pas aux décisions vues uniquement à travers leurs résultats a
posteriori ou à l’acte de décider centré sur un individu. Notre propos couvre une décision vue
comme un processus construit et bouclé au sein d’une organisation (cf. Figure 5.1), mettant
en jeu plusieurs décideurs et plusieurs enjeux.

Fig. 5.1 – Représentation d’un processus de décision

L’action des décideurs peut se présenter comme un choix, par exemple : changer/ne pas
changer. Ce choix est motivé par une mesure a priori de l’impact des alternatives sur la
performance globale du système ferroviaire (en termes de sécurité4 , mais également en termes
de régularité ou de productivité ou de coût).

4
En France, dans le secteur ferroviaire, toute modification ayant un impact sur la sécurité est soumise à un critère
réglementairement instauré : le principe du Globalement Au Moins Équivalent (GAME). Le GAME est l’assurance
qu’une modification (de règlement ou autre) ne dégrade pas la sécurité.

71
Facteurs socioculturels du REX

Cette mesure, obtenue à l’issue d’une étude de risques et réalisée par des experts (internes
et/ou externes), se nourrit des connaissances construites dans des REX. L’étude de risques
est donc le support du choix des décideurs. La boucle est bouclée (cf. Exemple : ajout de
signalisation).

Exemple : Ajout de signalisation

De la responsabilité de la Branche Infrastructure (sous-branche Équipement) et en collaboration


avec le propriétaire national des voies Réseau Ferré de France (RFF), l’ajout ou la modification d’une
signalisation affectera l’activité de travail d’agents de plusieurs métiers. En effet, dans leur activité
de conduite, la connaissance de lignes des conducteurs sera modifiée, tandis que les aiguilleurs
feront face à une extension de leur champ d’action. Au niveau du fonctionnement global, ce rajout
aura des impacts en termes de sécurité (gestion du flux en cas d’incident…), de régularité et de coût
(de maintenance ou/et de mise en place).

La réalisation d’un REX peut se positionner aussi bien en aval qu’en amont d’une décision :
 soit c’est l’ensemble des informations assemblées dans le cadre de pratiques de REX qui
mènent à la décision ; c’est le cas suite à l’observation d’une tendance à la dégradation
des conditions de sécurité ou à la multiplication de petits événements ;
Exemple : L’action « communication sécurité » et REX
En 2007, suite au constat à travers l’exploitation des informations contenues dans les bases de
données soutenant la démarche REX d’une augmentation des incidents liés aux communica-
tions radio (manque de rigueur, oubli de répétition, non collationnement…), la Direction de
l’Infrastructure lance une grande campagne autour de « la communication dans les opérations
de sécurité ». Cette campagne est bâtie autour d’affiches et de livrets de sensibilisation sous
la forme de bandes dessinées relatant des cas réels de quasi incidents (issus du REX) où un
problème de communication était en jeu.

 soit la recherche d’information est réalisée après identification d’une alternative, qu’il
faut discriminer à l’aide d’une étude prospective et pour laquelle les bases de données
REX peuvent s’avérer insuffisantes. Le cas échéant, un REX dédié peut être commandé.
Exemple : Les suites du quasi-accident de Villeneuve Triage en 2003
En Banlieue parisienne, le quasi-accident de Villeneuve Triage en 2003 déclenche une prise de
conscience des risques croissants liés au problème de voyageurs descendant de trains arrêtés et
cheminant dans les emprises ferroviaires. Cette tendance à la hausse du phénomène, identifié
comme point de fragilité, induit la mise en place d’adaptations du système ferroviaire, notam-
ment aux niveaux de ses procédures (réglementations). Pour tester ces nouvelles procédures,
des REX sont réalisés, soit sur le fonctionnement normal à travers une fiche de remontée
systématique, soit sur des exercices de simulation d’incidents. L’objet de ces REX est double :
corriger la réglementation et aider les agents à comprendre les changements.

REX et analyse de risques comme aide à la décision

Comme l’écrit [Mortureux 2004] : « Le REX en soi ne prend pas de décision ; il produit de la
connaissance et cette connaissance est essentielle à la prise de décision ». La logique qui guide
la décision apparaît comme indépendante, sans que REX et décision ne soient déconnectés : les
connaissances construites et extraites des REX conditionnent et doivent éclairer les décisions
prises (cf. Figure 5.1). Ainsi, pour réaliser les études de risques, des experts font appel au REX
à titre d’une des sources de connaissances sur un système. Cependant, [March 1991] explique
que fréquemment, « La plupart des informations collectées ne le sont pas prioritairement pour
fournir une aide directe à la prise de décision, mais plutôt une base d’interprétation des faits ».
Il devient alors intéressant de regarder de plus près comment les connaissances extraites des
REX sont traitées en fonction d’un besoin (plus ou moins bien identifié) pour être adaptées à
la décision.
Une estimation des risques fondée sur le REX.
Pour rendre efficientes les prises de décision, les gestionnaires aimeraient disposer de plus
que des données qualitatives ou ordinales. En effet, une gestion efficiente se définit comme
partageant les ressources disponibles entre les différentes actions de prévention possibles, de

72
5.1. Le REX à la SNCF

façon à réduire l’ensemble des risques de la façon la plus appréciée du point de vue de la
politique générale de l’entreprise. La volonté de traiter les informations issues du REX en
termes quantitatifs (comptage des accidents ou des précurseurs…) ou sous forme de statistiques
(nombre de dysfonctionnements d’un type rapporté au nombre total de dysfonctionnements)
traduit ce besoin. D’un point de vue restrictif, cela peut viser à diminuer, le plus possible, les
coûts financiers des accidents potentiels compte tenu des ressources budgétaires disponibles.
Étant donné qu’il s’agit d’une pratique courante, nous nous sommes interrogés sur les difficul-
tés liées aux mesures et indicateurs quantitatifs utilisés.
Tout d’abord, la statistique descriptive est basée sur le postulat qu’en présence de nombreux
tirages une loi peut être déduite (ici, a priori, on rechercherait la loi de dégradation du système).
Or, sur notre terrain, comme nous n’avons ni assez de tirages ni assez de données (chaque pas de valeur
type d’écart au fonctionnement normal n’est heureusement pas si fréquent) ; il n’y a pas de statistique
valeur statistique.
Ensuite, autre effet du nombre insuffisant de données, on accumule de la connaissance depuis
une vingtaine d’années sur des listes de dysfonctionnements (déraillements, nez à nez…)
dont les causes peuvent être différentes dans la mesure où le système a beaucoup changé
(technologies différentes, populations différentes…). Ainsi, on augmente le risque de déformer
les conclusions sur les données agrégées. évolution
permanente du
Exemple : KVB et Gravité du Franchissement de signal fermé système

Le REX fait changer le système mais ce dernier n’en tient pas toujours compte. Pour établir le
niveau de sécurité annuel, à chaque risque ferroviaire (déraillement, rattrapage, franchissement
d’un signal fermé…) est affecté un « coefficient » de gravité proportionnel au nombre de morts
liés à ce type de risque depuis 1970. Or, depuis ces années, de nombreuses évolutions du système
modifient la structure du risque. Par exemple, la mise en place dans les années 1990 du système de
contrôle de vitesse par balises (KVB) réduit, voire supprime (en cas de fonctionnement du système)
le risque de mort lié au franchissement de signalisation fermée.

Pour finir, le risque de tomber dans le travers des études quantitatives, soit de masquer la
réalité de la complexité, est grand. L’exploitation quantitative tend à être complétée par une
analyse plus qualitative des mêmes risques, notamment celle des facteurs organisationnels
et humains (FOH) malheureusement parfois difficiles à mesurer. On se concentre plus sur les
conséquences finales et la survenue de la défaillance que sur la compréhension de ce qui y a
conduit. Dans cette logique, à des fins d’exploitabilité a posteriori, la formalisation à l’extrême
du recueil des informations met les acteurs du REX face à un dilemme : d’une part, travaillant la simplification
sur un système technologique ultra-sûr, pour reconstruire le déroulement réel d’un processus réduit la complexité
incidentel ou accidentel, un maximum d’éléments contextuels doivent être pris en compte ; réelle
d’autre part, par la formalisation extrême, le nombre et la nature des informations recueillies
sont restreints.

Exemple : La problématique franchissement de signal fermé et le REX

Les typologies de risques sont définies à partir d’une liste a priori d’événements à suivre. Les
informations contenues dans le REX sont centrées sur l’événement final. Au niveau de la Traction
(conducteurs), on traite en particulier du problème de franchissement de signaux fermés vu à travers
leur nombre. Mais que déduire de l’augmentation de la tendance du nombre de franchissement de
signal fermé ? Comment s’assurer qu’une augmentation n’est pas seulement liée à l’augmentation
du trafic, toutes choses égales par ailleurs ?

Bonnes pratiques : La démarche REX Facteurs Organisationnels et Humains

Depuis les années 2000, l’intégration des Facteurs Organisationnels et Humains (FOH5 ) est un
objectif de la politique d’amélioration de la sécurité. Cette intégration se traduit par la réalisation
en parallèle des « REX classiques » d’une étude orientée FOH des événements les plus significatifs
(aux yeux d’une entité donnée). Les études FOH peuvent être réalisées à tout niveau hiérarchique
(national, régional, établissement).

5
La SNCF utilise le terme FOH plutôt que FHO afin d’insister sur l’aspect organisationnel.

73
Facteurs socioculturels du REX

Analyse de risques et décision : quelle représentation commune ? Les résultats des


analyses de risques sont formalisés et reportés dans des outils d’aide à la décision tels que des
cartographies des risques, des arbres de défaillances, des arbres des causes ou des AMDEC
(Analyse des Modes de Défaillances, de leurs Effets et de leurs Criticités).
Comme nous l’avons évoqué précédemment, les décisions se prennent dans un cadre multi-
critères et multi-acteurs. Deux difficultés apparaissent alors :
 il est rare qu’une solution domine les autres au niveau de tous les enjeux. Par exemple,
sans que cela soit nécessairement systématique, il peut arriver que les enjeux de sécurité
conflit d’intérêts entrent en conflit avec d’autres intérêts ; à partir de ce moment, les décideurs sont amenés
à arbitrer entre avantages et inconvénients des alternatives proposées selon une grille de
performance (sécurité, coûts, régularité…) ;
 dans la mesure où les décisions sont en général prises en impliquant les pilotes des sys-
tèmes impactés et que, comme évoqué précédemment (cf. Section 5.1.2), elles concernent
perception du risque en général plusieurs métiers, elles sont prises dans le cadre de comité de responsables.
différente Il faut alors tenir compte et traiter les difficultés des décisions collectives, en particulier,
des perceptions des risques différentes voire divergentes (du fait de fonctions, métiers et
vécus différents).

Exemple : L’étude de risques « LSFP »

« Que doit faire un conducteur en cas de déclenchement du voyant lumineux indiquant l’ouverture
d’une porte (LSFP) alors que son train est en marche ? » Telle est la question réelle à laquelle les
conducteurs d’Île de France sont de plus en plus confrontés. La procédure prévoit l’arrêt immédiat.
Cependant, « dans la mesure où le REX a montré que les causes de ces déclenchements sont plus liés
à des actes de malveillance, l’arrêt immédiat est-il vraiment nécessaire et plus sécuritaire, sachant
que l’arrêt en pleine voie d’un train engendre un risque de descente de voyageurs ? » Telle est la
question concrète à laquelle les concepteurs de réglementations ont été confrontés pour répondre à
la demande d’adapter la réglementation. Pour apporter une réponse, une étude a été réalisée tenant
en compte l’aspect économique (liés aux perturbations) et l’aspect sécurité (structure de risques).

En dépit d’une description exhaustive et pertinente des risques, il n’y a, dans ce type de
situation multi-enjeux et multi-acteurs, ni évidence dans la décision, ni objectivité a priori
possible. Ainsi, pour qu’un choix commun puisse s’opérer, les managers doivent se concerter et
s’accorder. Actuellement, l’illusion de coordination est nourrie par le biais de réunions et autres
comités de décision où chaque membre se contente de présenter les objectifs visés et les moyens
de les atteindre, sans se confronter aux autres membres. Dans le monde ferroviaire, en l’absence
d’alternative dominante, on peut faire appel à une directive, « L’Instruction-Cadre relative aux
méthodes d’évaluation économique des grands projets d’infrastructures de transport jointe
à la lettre du 25 mars 2004 du ministre de l’Équipement, des Transports, du Logement, du
Tourisme et de la Mer »6 .
Échelle IDRAC de valorisation des biens
Selon l’Instruction-Cadre relative aux méthodes d’évaluation économique des grands projets
d’infrastructures de transport, jointe à la lettre du 25 mars 2004 du ministre de l’Équipement,
des Transports, du Logement, du Tourisme et de la Mer :

Accident individuel Accident collectif


Blessé léger 1 15
Blessé grave 5 75
Mort 50 750

Tab. 5.1 – Coefficient de gravité élémentaire.

6
Échelle IDRAC.

74
5.2. Complémenter les pratiques actuelles dans le cadre d’une aide à la décision ?

Valeur de la vie humaine 1,5 M€


Valeur du blessé grave 225 000€
Valeur du blessé léger 33 000€

Tab. 5.2 – Valorisation des impacts humains en termes monétaires.

5.2 Complémenter les pratiques actuelles dans le cadre d’une aide à la décision ?
Notre contribution va consister, au vu de l’analyse sur le terrain de l’articulation entre REX et
processus décisionnel, à proposer une aide à la décision adaptée aux managers. Notre posture
dans l’entreprise entrera dans les codes de la recherche : intervention avec conception et
implémentation d’outil de gestion [Hatchuel et Molet 1986]. Cette méthodologie suppose
que le chercheur est à la fois un intervenant et un observateur. Ainsi, sont prévus :
 des observations classiques (participation à des réunions et événements d’entreprise en
tant qu’observateur) ;
 des entretiens ;
 de l’analyse de documents ;
 de la conception d’outils, procédures et dispositifs ;
 de l’expérimentation de ces outils sur terrain ;

tout ceci, dans le cadre d’un cas d’étude réel. Un des objectifs fixés consiste à identifier des
limites ou des freins à la mise en place des nouvelles pratiques proposées pour aller toujours
plus loin dans l’explicitation et la vulgarisation des outils et théories sous-jacentes.
Revenons brièvement sur les constats présentés en première partie traitant des limites du REX
dans sa dimension d’aide à la décision. Nous avons vu que :
 le processus de décision, concerne de multiples acteurs de positions hiérarchiques et de
métiers différents ;
 il requiert qu’une coordination entre ces acteurs s’opère ;
 le seul REX ou la seule analyse de risques ne permettent pas de mettre en place cette
coordination.
En première approche, nous pourrions chercher à repenser les pratiques de REX actuelles
à travers le contenu des analyses. Mais finalement, une telle piste fonde l’amélioration sur
le postulat que meilleure sera l’information, meilleure sera la décision. Or, [Vidal 2000] et
certaines de nos observations le contredisent : le seul apport de connaissances sur les risques,
aussi complet soit-il, n’est pas suffisant pour aider concrètement les managers à prendre
des décisions. C’est pourquoi, en seconde approche, nous devrions également repenser les
conditions d’utilisation du REX. Nous allons donc chercher à travailler sur les interfaces
internes du processus de décision, en complémentant les pratiques actuelles par la création
d’interfaces méthodologiques entre l’analyse de risques et la décision ou encore l’analyse
de risques et le REX.
Tel est l’objectif que nous nous fixons dans le cadre du développement et de l’expérimentation
d’une aide à la décision transverse des tâches citées précédemment :
le REX ;
l’étude de risque ;
le choix à opérer.
Détaillons et structurons les fondements de cette aide à la décision en répondant à quelques
questions simples.

75
Facteurs socioculturels du REX

5.2.1 Pourquoi construire une aide à la décision ?


Selon [Roy 1985], l’aide à la décision peut se définir aujourd’hui comme :

‘‘ L’activité de celui qui, par des voies dites scientifiques, aide à obtenir des éléments de réponses à des
questions que se posent des acteurs impliqués dans un processus de décision, éléments concourant
à éclairer la décision en vue de favoriser un comportement des acteurs de nature à accroître la
cohérence entre l’évolution du processus d’une part, les objectifs et/ou les systèmes de valeurs au
service desquels ces acteurs se trouvent placés d’autre part.

De ce fait, l’aide à la décision consiste aussi bien à traiter de la complexité de l’objet de la


décision, que de celle du déroulement de la décision.

L’amélioration vis-à-vis de la sécurité que nous prétendons être capables d’apporter, est
une amélioration de son mode de gestion, dans la mesure où l’aide à la décision permet de
former des décisions fondées sur des processus plus transparents.

5.2.2 Comment construire cette aide à la décision ?


La construction d’une aide à la décision en situation complexe s’avère être une ambitieuse
entreprise. Nous avons identifié deux failles des pratiques, précédemment citées, à savoir que :
 les méthodologies de construction des estimations de risques sont fondées trop souvent
sur une exploitation statistique ;
 l’utilisation de ces connaissances de manière « brute » par des groupes de décideurs ne
suffit pas pour coordonner leur action.
Il nous reste à préciser brièvement comment nous pensons les surpasser.
Redéfinir le risque et sa représentation. Dans le monde industriel, le risque est souvent
défini comme le produit de la probabilité et de la (des) conséquence(s) de la survenance d’un
événement dangereux spécifié. La norme ISO/CEI 73 le définit comme la « combinaison de la
probabilité d’un événement et de ses conséquences ». Cette définition du risque a l’avantage
d’être simple, mais, si l’on souhaite identifier des pistes de progrès, elle mérite d’être étoffée à
la lumière des recherches multiples qui se font sur le sujet. En effet, prise comme telle, cette
définition s’avère restrictive :
 Insistant sur l’aspect mathématique du risque (à travers la notion de « produit » ou de
« probabilité »), elle omet que le risque est un construit humain et social. Probabilité
et gravité n’en sont qu’une représentation possible. Pour évaluer et manager les risques,
on doit également chercher à comprendre la façon dont la subjectivité des hommes
influence leur anticipation, leur estimation et leur évaluation des risques dans un cadre
scientifique rigoureux.
 Elle ne met pas en évidence la place centrale de l’apport de connaissances en gestion des
risques. [Knight 1921] positionne le risque par rapport à l’incertitude. Le risque est selon lui
une incertitude probabilisable, et est probabilisable une situation pour laquelle le niveau
de connaissance permet de construire une probabilité. Or, en associant de manière plus
explicite la gestion des risques à la gestion des connaissances, on limite le biais actuel de
faire reposer le « retour d’expérience » trop exclusivement sur l’observation statistique
passée, qui amène l’entreprise à ignorer le gisement d’information d’une incroyable
valeur que représentent les employés expérimentés.
 Elle est incomplète par rapport à la définition scientifique du risque par Bernoulli7 qui
indique que le risque est l’espérance mathématique d’une fonction de probabilité d’évé-
nements. Selon Bernoulli, le produit (probabilité x gravité) ne représente que la valeur
d’un aléa unique : le risque est la somme des aléas possibles. Dans ce cadre, l’efficience

7
La définition scientifique du risque a été donnée en 1738 par Daniel Bernoulli dans « Specimen theoriae novae
de mensura sortis » : « Le risque est l’espérance mathématique d’une fonction de probabilité d’événements ». En
termes plus simples, il s’agit de la valeur moyenne des conséquences d’événements affectés de leur probabilité.
Ainsi, tout événement ei a une probabilité d’occurrence pi avec une conséquence probable Ci . Selon la définition
de Bernoulli, le risque vaudra R = p1 C1 + p2 C2 + … + pn Cn . Un produit pi Ci est appelé valeur de l’aléa i.

76
5.3. Cadre conceptuel et démarche de recherche

de la gestion des risques commande de ne pas traiter les aléas séparément, mais selon
un cadre de gestion cohérent qui tient compte de la diversité des problèmes et de leurs
interdépendances. Ainsi, lors de l’évaluation des risques dans un cadre industriel, il faut
veiller à tenir compte de tous les aléas, c’est-à-dire toutes les possibilités, dans le contexte
d’étude défini.
Organiser la concertation par une coordination des représentations. [Crozier et Friedberg
1977] expliquent clairement que, dans une organisation, la coopération n’est pas l’attitude
naturelle des acteurs. Ils postulent que les individus élaborent des stratégies en fonction de
buts personnels qui entreront parfois en contradiction avec ceux de l’organisation. Ainsi, les
jeux de pouvoirs sont au centre des décisions et influencent la possibilité d’instaurer des
actions communes.
Comme l’explique [Munier 2001] :

‘‘ Au niveau d’une entreprise, la difficulté principale que rencontre le processus de décision est celle
de la coordination :

 au niveau du système de production de l’entreprise, dans la mesure où les risques dépendent


des décisions d’ingénieurs et de techniciens, mais aussi d’organisateurs au sens de concepteur
des postes de travail et de leurs interrelations ;
 au niveau d’ensemble, dans la mesure où les risques dépendent des décisions de la direction,
des ingénieurs et des organisateurs.

Face à ce constat, un axe d’amélioration serait donc de chercher à faire coïncider attitudes et
représentations d’acteurs par la reconstruction chez eux d’une « norme » de comportement
par rapport au risque [Munier 2001]. Si elle permet cela, l’aide à la décision se présente alors
comme un vecteur de concertation au sens de [Roy et al. 2001] selon qui « la concertation
peut être vue comme un mode de coordination dans un processus d’action et de décision
collectif ». Ainsi, plus qu’une simple aide au choix, on cherche à construire des modalités de
« délibération organisationnelle » [Vidal 2002].
Pour expliciter les éléments de réponse que nous souhaitons apporter, nous allons maintenant :
1. Définir un cadre conceptuel de modélisation d’un système de management des risques
supportant notre analyse du management des risques sécurité à la SNCF. L’objectif de
cette modélisation dans le cadre du travail de thèse, est de mieux comprendre les relations
entretenues entre le REX et les acteurs (managers, opérationnels, concepteurs…) au regard
de leur rôle dans le système (cf. § 5.3).
2. Présenter sous forme d’une aide à la décision complète, de la phase de recueil de données
à l’établissement d’une prescription, nos propositions pour complémenter les pratiques
actuelles en apportant des éléments d’explication et d’outillage (cf. § 5.3.2).

5.3 Cadre conceptuel et démarche de recherche


Nous allons maintenant présenter dans cette partie le cadre théorique sur lequel nous nous
appuyons pour répondre à notre problématique et présenter l’aide à la décision construite et
à expérimenter.

5.3.1 Le REX, système d’information dans sa dimension d’aide au pilotage : clés de


compréhension
REX et système de management des risques ?
En se basant sur la modélisation générique d’une organisation de [Le Moigne 1990], et en
s’inspirant de [Munier 2005], on peut représenter un système de management de risques comme
divisé en trois systèmes interconnectés (cf. Figure 5.2) :
 un système de décision/pilotage dont la fonction est de concevoir l’utilisation des
moyens amenant à la maîtrise des risques et d’organiser la coordination des actions ;
 un système d’information (SI), constitué par l’ensemble des informations et connais-
sances permettant de concevoir/reconcevoir et d’optimiser l’utilisation des moyens ser-
vant à gérer les risques ;

77
Facteurs socioculturels du REX

 un système opérant dont la fonction est d’utiliser les moyens mis à sa disposition
permettant d’assurer la maîtrise des risques.

Fig. 5.2 – Système de management des risques à travers la forme canonique de l’organisation (d’après [Le
Moigne 1990])

Un Système de Management des Risques (SMR) est vu comme un ensemble d’entités et


d’hommes dont il faut coordonner les actions autour d’un objectif commun : la maîtrise
des risques. Pour éviter toute confusion, du fait de l’ambiguïté possible de la terminologie,
insistons sur le fait que le SMR ne couvre pas que l’ensemble des managers : les opérateurs en
font également partie dans la mesure où leurs actions impactent la sécurité. En revanche, si
les managers appartiennent au système de pilotage, les opérateurs appartiennent au système
opérant.
Concentrons nous maintenant sur le système d’information. Dans sa conception générale
issue des théories systémiques,

‘‘ La fonction d’un système d’information est de produire et d’enregistrer (mémoriser) les informations-
représentations de l’activité du système d’opérations, puis de les mettre à la disposition en général,
de façon aussi interactive que possible, du système de décision. [Le Moigne 1990]

En termes plus pratiques, le système d’information couvre l’ensemble des moyens et des
procédures destinés à procurer à tous les acteurs de l’entreprise une représentation la plus
pertinente possible de l’état et du fonctionnement de celle-ci face à son environnement. Il
représente l’ensemble des éléments participant à la gestion, au stockage, au traitement, au
transport et à la diffusion de l’information au sein d’une organisation. Cette connaissance peut
se matérialiser par des documents internes et externes, mais également sous forme de capital
intellectuel et d’expériences détenus par les collaborateurs ou les experts d’un domaine. La
connaissance informelle ou tacite est le cœur de la richesse cognitive d’une entreprise : nous
en savons plus que ce que nous pouvons en dire ! Elle comporte les modèles mentaux que
chacun se forme sur le monde, et le savoir-faire concret constitué des habiletés s’appliquant
dans des contextes spécifiques.
Les pratiques de REX font donc partie, selon nous, du système d’information du SMRS8 . Même
si les pratiques prennent des formes différentes, elles ont pour point commun la motivation
qui anime ceux qui y participent : extraire une certaine connaissance du fonctionnement réel

8
Système de Management des Risques Sécurité.

78
5.3. Cadre conceptuel et démarche de recherche

du système pour en tirer des enseignements conduisant à améliorer la sécurité, à l’intention


du système de pilotage d’une part, mais également, du système opérant.
Appliquées à la sécurité ferroviaire, la maîtrise des processus de conception de la sécurité de
la production (fondée sur la capacité à anticiper le fonctionnement futur/potentiel) et celle
des processus de production (basée sur la mise à disposition de moyens adéquats) constituent
les fondements de la maîtrise de la sécurité.

Le REX, quel système d’information ?

Le REX fait partie du Système d’Information du Système de Management de la Sécurité.


Par une mise à disposition aux acteurs, du système opérant et du système de pilotage, des
connaissances qu’il permet de construire, il sert de canal de « communication » :

 entre un système opérant naturellement intégré et des systèmes de pilotages décen-


tralisés à coordonner : le REX sert de photographie de l’état réel du système ;
 entre différentes entités du système opérant qui doivent travailler ensemble ou qui
font un travail similaire : le REX sert de base commune de connaissance sur les
incidents.

[Reix 2004] explique que :

‘‘ Plusieurs perspectives sont à prendre en compte pour comprendre ce qu’est réellement un système
d’information. Tout d’abord, une vision sans doute la plus immédiate, un système d’information est
quelque chose qui manipule de l’information (un tableau de bord, un ordre de réparation…) ensuite,
c’est quelque chose qui utilise des technologies de l’information et enfin c’est quelque chose qui est
imbriqué dans le fonctionnement et la structure d’une organisation (liens étroits entre le processus
de travail et le SI).

C’est pourquoi, pour mieux comprendre le REX vu comme un système d’information, nous
devons le considérer comme un objet multi-dimensionnel, susceptible d’être observé selon
trois dimensions principales (cf. Figure 5.3) :
 une dimension informationnelle (le SI produit des représentations) ;
 une dimension technologique (le SI est un construit à base d’outils) ;
 une dimension organisationnelle (le SI est un élément des processus et de la structure de
l’organisation).
Alors, pour décrypter en profondeur le REX d’une entreprise, il s’agit d’observer les com-
posantes organisationnelle, technologique (outil informatique ou non) et informationnelle
du REX à travers les modalités pratiques (recueil de données, analyse des données, mémori-
sation, partage) de la réalisation des REX qui le composent et au regard de l’utilisation des
connaissances.
D’un point de vue organisationnel, il s’agit d’évoquer l’influence de l’organisation du manage-
ment de la sécurité sur les pratiques de REX au niveau du recueil, de l’analyse de données et
du partage des connaissances. Nous évoquerons également l’organisation du REX lui-même
selon l’objet d’étude et l’utilisation des connaissances qu’il permet de construire. Par ailleurs,
de manière symétrique, nous verrons si le REX influence l’organisation du management de la
sécurité.
D’un point de vue informationnel, nous observons les informations contenues dans les REX,
comment elles ont été recueillies et les connaissances qu’elles permettent de construire. Les
pratiques étant diverses, ces informations sont également de natures diverses.
Nous traitons de la dimension technologique de manière détournée de sa vision centrée
sur l’outil informatique : nous considérons l’ensemble des outils utilisés pour construire la
connaissance, les bases de données informatiques et les supports d’analyses de risques.

79
Facteurs socioculturels du REX

Fig. 5.3 – Cadre conceptuel pour analyser le REX

Le REX : Un système d’information orienté aide à la décision

Selon le modèle présenté précédemment, la décision est l’aboutissement d’un processus sup-
porté par les trois systèmes sociotechniques qui communiquent en ces termes :
 les enjeux des décisions se traduisent en impacts potentiels sur le système opérant que
permettent de mesurer les connaissances apportées dans le système d’information (dé-
marche bottom-up 9 ). Faire appel à une forme probabilisée des impacts des modifications
est indispensable vue la complexité liée aux interactions entre les hommes, l’organisation,
les installations et l’environnement ;
 quand la décision est prise, elle a alors une existence dans le système opérant notamment
au travers de ses effets (démarche top-down10 ). Une justification transparente et une
préparation améliorent son acceptation et son efficacité.
Pour atteindre une dimension d’aide à la décision, [Vidal 2002] explique que ce système d’infor-
mation devra s’articuler autour de trois grandes dimensions :
1. Une dimension technique, correspondant au nombre de critères à prendre en compte,
aussi bien au niveau de la décision que de l’analyse de risques. On travaille sur le contenu
informationnel.
2. Une dimension individuelle en relation avec la possibilité de décider de manière
« rationnelle ».
3. Une dimension organisationnelle issue de problématiques qu’implique la décision
prise en groupe.
Dimension individuelle et organisationnelle du système de décision/de pilotage.
Nous avons fait le choix d’étudier le système de pilotage à travers les décisions qui sont prises
par les managers, car manager les risques, c’est prendre des décisions au quotidien et sur le long
terme. C’est dans les années 1950 que s’est constitué le corpus disciplinaire que l’on entendra
ultérieurement sous le nom de « Sciences de la Décision ». Ces sciences sont articulées autour
de deux branches : les « Mathématiques de la Décision » (dont les œuvres fondatrices sont

9 En Français, du bas vers le haut.


10
En Français, du haut vers le bas.

80
5.3. Cadre conceptuel et démarche de recherche

notamment [Von Neumann et Morgenstern 1953 ; Savage 1954] et les « Sciences de la Décision
Organisationnelle » [March et Simon 1965 ; March 1991]. Dans le cadre du développement de
modèles liés à la première branche, nous reprenons de manière synthétique un formalisme
mathématique qui a été développé.
Modélisation mathématique d’une décision
Des décideurs amenés à choisir une action à entreprendre sont confrontés à un problème de
choix entre différentes alternatives en fonction des conséquences potentielles. L’incertitude
des conséquences futures repose sur trois ensembles observables fondamentaux (cf.Exemple :
cas concret d’étude) :
l’ensemble des actions potentielles A1 , A2 , A3 ,… ;
l’ensemble des aléas ou états de la nature e1 , e2 , …, eN ;
l’ensemble des conséquences potentielles x1 , …, xM .
Pour représenter graphiquement enjeux et incertitude de la décision un arbre de décision.
(cf. Figure 5.4) est utilisé.
L’arbre de décision est un outil inductif qui part d’un choix. On recherche la succession des
événements et conséquences associées auxquels il peut conduire. Chaque branche de l’arbre
correspond à un scénario possible qui conduit à un événement (souhaité ou redouté), auquel
on associe donc une probabilité et des conséquences. Cet arbre met donc en perspective les
décisions, les événements redoutés, leurs causes et les conséquences des événements. En se
basant sur la définition du risque de Bernoulli (cf. Section 5.2.2), à chaque aléa ei est associé
un couple (Pei , Xei ) correspondant à la probabilité que ei survienne et la conséquence si ei
survient. Le risque lié à une décision correspond alors à la somme de tous les aléas.

RA1 = Pe1 Pe2 /e1 Xe2 /e1 + Pe1 Pe2 /e1 Xe2 /e1 + Pe1 Pe2 /e1 Xe2 /e1 + Pe1 Pe2 /e1 Xe2 /e1

Fig. 5.4 – Arbre de Décision

81
Facteurs socioculturels du REX

Cas concret d’étude

On propose de modifier une réglementation pour limiter le risque de descente de voyageurs et de


chute. Les alternatives à considérer sont donc :
A1 : Maintenir la réglementation /A2 : Modifier la réglementation.
En version simplifiée, les états de la nature et aléas considérés dans le problème sont :
e1 : descente de voyageurs dans les voies / e1 : non descente de voyageurs dans les voies
e2 : chute de voyageurs / e2 : non chute de voyageurs
Les conséquences potentielles se mesurent en termes d’impacts sur la vie humaine. Selon la chute,
la gravité peut être plus ou moins grande. Ceci se mesure avec une répartition en termes de Blessés
Légers(BL) / Blessés Graves (BG) / Morts (M).

Xe2/e1/A1 = (XeBL
2 /e1 /A1 2 /e1 /A1
; XeBG , XeM2/e1/A1 )

Xe2/e1/A1 se lit : conséquences liées à la survenue de e1 et e2 sachant qu’on applique la règle A1 .

2 /e1 /A1
XeBL se lit : conséquences en termes de blessés légers liés à la survenue de e1 et e2 sachant qu’on
applique la règle A1 ; ces conséquences peuvent être en nombre de blessés, mais également une loi
de répartition.

Le critère de décision dans ce formalisme mathématique : introduction aux théories de la décision


Comme nous l’avons dit précédemment, chaque décideur a une évaluation personnelle des
risques. Des différences d’évaluations entre décideurs peuvent apparaître dans le cadre multi-
acteurs. Elles ont été pointées et étudiées par de nombreux psychologues et économistes
centrés sur la décision dans le risque, qui travaillent sur les déterminants de la perception des
risques comme [Raufaste et Hilton 1999 ; Hammond et al. 1998]. Elles sont l’objet du développe-
ment des théories de la décision. L’utilisation de ce type de théories dans l’entreprise s’inscrit
dans des perspectives prescriptives et descriptives :
 d’un point de vue prescriptif, on cherche à déterminer « quoi décider » en fondant le
choix sur un critère de rationalité établi à l’image des valeurs des décideurs ;
 d’un point de vue descriptif, on cherche à mieux appréhender l’appréciation des risques
des individus et donc leur comportement en situation de risque.
Utilisation et vertus de la théorie multi-attribut
Nous avons fait le choix d’utiliser la théorie de l’utilité multi-attribut introduite par Keeney et
Raïffa [Keeney et Raiffa 1976]11 . Cette approche est basée sur l’affectation d’un niveau d’utilité
à la performance d’une action potentielle. Nous présentons maintenant brièvement cette
approche appliquée à l’estimation du niveau de sécurité selon trois « dimensions » : Blessés
Légers (BL), Blessés Graves (BG), Morts (M) (cf. Figure 5.5).

La fonction d’utilité U, c’est quoi ?

DEFINITION L’espérance mathématique est souvent considérée comme le critère objectif dans le risque, bien que
des études montrent que, même pour des choix simples dans le risque, le critère de choix est autre
[Allais 1953]. Cette « déviation » pourrait être considérée comme un biais vis-à-vis d’un comporte-
ment optimal, mais cela n’est qu’une interprétation possible. Pour d’autres auteurs, elle traduit
en fait de véritables volontés stratégiques comme l’explique [Beaudouin 2006]. Ce comportement
s’explicite à partir d’une fonction subjective : l’utilité. La notion d’« utilité » est un concept utilisé
en économie et qui a été théorisé par [Von Neumann et Morgenstern 1953]. À l’instar du transfert qui
s’est fait de manière naturelle pour les problématiques financières, nous cherchons aujourd’hui à
faire de même dans l’industrie.

11
Pour une première approche, nous allons utiliser un modèle assez simpliste. Nous pourrions, dans un second temps,
chercher à aller plus loin, comme cela a déjà été fait chez EDF où des chercheurs se sont appuyés sur le modèle
décisionnel « GEneralized Multi-Attribute Utility Theory » [Beaudouin et al. 1999]. Leur approche se fonde sur les
modèles alternatifs de la décision dans le risque dans un contexte multi-attribut en utilisant la modélisation à
dépendance de rang.

82
5.3. Cadre conceptuel et démarche de recherche

Fig. 5.5 – Niveau de sécurité par utilité multi-critères

Les coefficients d’échelles K c’est quoi ?

DEFINITION Quand bien même 1 mort n’est nullement l’équivalent d’1 blessé léger, qu’en est-il de 20 blessés
graves par rapport à 5 morts ? Comme expliqué dans la première partie, l’arbitrage de cette nature,
dans le secteur ferroviaire, s’appuie sur la valorisation proposée dans l’« Instruction cadre relative
aux méthodes d’évaluation économique des grands projets d’infrastructures de transport » (cf. Ta-
bleaux 5.1 et 5.2). Cependant, cette valeur tutélaire ne coïncide pas forcément avec l’évaluation
individuelle que les coefficients d’arbitrage K entendent représenter.

Dimension technique : Construire et outiller le système d’information.


Travailler sur le REX comme un SI, c’est repenser la place des pratiques de REX en centrant
notre réflexion sur la conception et l’apport de l’information utile, au bon moment et sous la
bonne forme, dans une perspective d’aide à une décision.
La pratique actuelle de l’estimation des risques à partir des bases de données, s’appuie sur
une conception fréquentiste de la probabilité. Elle tire son origine des calculs combinatoires
réalisés dans le cas de jeux de hasard et associe les probabilités aux limites des fréquences
quand le nombre d’observations tend vers l’infini. Cependant, si la théorie des probabilités
est une branche importante des mathématiques utilisée pour décrire et quantifier l’incertain,
il existe une deuxième façon de considérer les probabilités, l’approche subjective (dite aussi
personnelle).

83
Facteurs socioculturels du REX

La probabilité personnelle

DEFINITION La probabilité personnelle [de Finetti 1937] est entendue aujourd’hui comme une valeur qui traduit
l’opinion personnelle d’un décideur quant aux chances qu’un événement incertain puisse se produire.
Selon [Cadet 2006], cet énoncé général comporte actuellement deux grandes acceptions :
l’une est « passive » ; la probabilité personnelle est vue comme le degré de croyances, c’est-à-dire
une valeur qui traduit de façon synthétique et qui inclut dans sa quantification des connaissances,
des expériences passées et des attentes quant à un phénomène défini ;
la deuxième, « active », a été étudiée par les psychologues. La probabilité personnelle n’est pas à
strictement parler, une donnée du monde extérieur, mais elle renvoie à une lecture personnelle de
ce monde extérieur. En fonction de sa personnalité, de ses connaissances, de ses besoins, chaque
évaluateur va apprécier les possibilités d’occurrence d’un risque déterminé.
Ainsi, on s’intéresse à ce qui est appelé dans la littérature « le jugement d’expert ». Le principe
qui consiste à compenser l’insuffisance des données du retour d’expérience en complétant et en
suppléant des données d’experts aux données factuelles lorsque ces dernières sont peu nombreuses
ou inadaptées, est employé dans le domaine de la sûreté de fonctionnement et pour la maintenance
(l’estimation de durée de vie, l’optimisation de la maintenance…). Ainsi, cette littérature présente
des intérêts méthodologiques précieux. Lannoy, dans [Lannoy et Procaccia 2001], explique que les
pratiques de jugement d’expert imposent une certaine rigueur à chaque étape du processus :
la sélection des experts ;
l’élaboration du questionnaire ;
l’information préalable de l’expert ;
l’estimation et l’agrégation des expertises.
Dans le cas des probabilités subjectives, une abondante littérature issue de l’économie expérimentale
fournit des fondements théoriques forts pour l’élaboration des questionnaires.

Dans la perspective subjectiviste, estimer les risques (et donc le niveau de sécurité), consiste
avant tout à rechercher les informations, comparer, juger, inférer en fonction des connaissances
antérieures et donc gérer un véritable réseau d’informations : la détermination de la probabilité
personnelle est assimilable à un comportement ou à une conduite construite faisant appel
à des processus de traitement des informations suivant des heuristiques étudiées par les
psychologues, notamment par [Kahneman et al. 1982].

Il nous semble important d’insister sur le fait que cette estimation des risques s’appuie
sur un modèle implicite de l’accident que les personnels ont développé au cours de leur
expérience. Elle ne fait donc que traduire sous une forme quantitative une réalité certes
subjective, mais riche. Selon nous, un agent expérimenté prend mieux que quiconque en
compte, tous les jours et dans son action, les trois dimensions de la complexité des risques :
les facteurs techniques, humains et organisationnels.

Ces trois dimensions des risques des systèmes structurent le champ des recherches sur l’analyse
et la maîtrise des risques comme l’explique [Lassagne 2004]. Cependant, comme l’écrit [Bieder
2006] :

‘‘ La réalité ne catégorise ni ne distingue les dimensions techniques, humaines, organisationnelles,


procédurales, environnementales. Elles coexistent de façon indissociable. Par conséquence, prendre
en compte les aspects humains et organisationnels dans la gestion des risques, suppose davantage
une vision intégrée des différents aspects d’une analyse centrée sur certains d’entre eux.

Les acteurs opérationnels ont justement, du fait de la nature de leur travail, une vision intégrée
de ces trois facteurs. Un des avantages à se focaliser sur ce type de méthodologie repose
sur le fait que c’est un des seuls moyens d’obtenir des informations contextualisées : les
acteurs expérimentés connaissent le système, quand il dysfonctionne et quand il fonctionne
normalement.

84
5.4. Premiers résultats et perspectives

5.3.2 Détails sur la démarche : présentation de l’aide à la décision


Pour construire une aide à la décision pertinente, nous nous appuyons sur le cadre conceptuel
préalablement défini (cf. § 5.3), tout en développant l’outillage nécessaire à sa mise en œuvre
en nous basant sur des travaux réalisés en analyse de la décision.
Cette aide à la décision contient les étapes classiques de la gestion des risques : l’identification
des risques, leur estimation et leur évaluation. [Munier 2000] remarque que l’expression « éva-
luer » un risque, comporte le mot valeur. On doit différencier l’estimation du risque (au sens
où l’on estime par diverses méthodes), de l’évaluation du risque, c’est-à-dire de l’importance
de ce qu’il représente aux yeux du décideur, au regard de sa sensibilité, relativement à d’autres
risques et selon une échelle que nous devons discuter et préciser. Chacune de ces étapes
est soutenue par des outils et des méthodologies que nous allons nous efforcer de présenter
brièvement et simplement, (cf. Figure 5.6).

Étape 1 : identification des risques.


L’identification des risques correspond aux dimensions du risque que l’on souhaite étudier.
Étape 2 : coordination autour de l’estimation des risques.
L’estimation procède en deux phases :
1. estimations individuelles des risques faites par des agents expérimentés et élaborées à
l’image du modèle de l’accident étudié qu’ils ont en tête ;
2. mise en commun et discussion des résultats présentés sous forme anonyme en présence
d’un facilitateur. Cette phase a pour objectif d’observer dans quelle mesure peut apparaître
une estimation commune des risques par enrichissement mutuel (apports des différents
modèles personnels de l’accident étudié).
Étape 3 : coordination autour de l’évaluation et du critère de décision pour la construc-
tion d’un accord.
L’évaluation procède en trois étapes :
1. évaluations individuelles auprès des acteurs (désignés par la direction générale de l’entre-
prise) parties prenantes au système de décision ;
2. mise en commun et discussion des résultats présentés sous forme anonyme en présence
d’un facilitateur ;
3. détermination d’un mode commun d’évaluation référencé à l’organisation.
Étape 4 : établissement de la prescription.
Étant donné l’estimation des risques produite, ainsi que le modèle commun de valeur dé-
veloppé par les décideurs, on entend construire la prescription sur des critères de décision
scientifiquement fondés, à l’image de la rationalité qu’on entend donner à la décision (cf. § 5.3).

5.4 Premiers résultats et perspectives


5.4.1 Précisions sur le cas d’étude
Nous allons évoquer ici les premiers retours de notre outil d’aide à la décision appliqué à un
cas d’étude particulier : le GAME de l’alerte radio. Pour avoir des précisions voir [Tea 2007,
2008].
Les Alertes Radio (AR) peuvent être déclenchées en présence d’un danger ou d’une forte
présomption de danger sur les voies. Le déclenchement d’une alerte provoque l’émission d’un
signal sonore transmis par un réseau hertzien de communication audible :
 par les conducteurs situés dans une même zone (canton radio) qui l’interprètent comme
un signal d’arrêt immédiat ;
 par les postes d’aiguillage encadrant où les Agents Circulation l’interprètent comme un
ordre de fermeture immédiate des signaux pour permettre de protéger la zone ;
 par le poste régional de régulation où les régulateurs l’interprètent comme une présomp-
tion de danger mettant en péril la régularité et la sécurité des trains. Ils vont alors gérer
la remise en route.

85
Facteurs socioculturels du REX

Fig. 5.6 – Panorama de la démarche d’aide à la décision à expérimenter

Or, il se trouve que la réglementation concernant la remise en marche des trains, a récem-
ment été modifiée et fait l’objet d’un dispositif expérimental. Auparavant, elle imposait aux
conducteurs impliqués de rester arrêtés jusqu’à ce qu’un ordre de redémarrage soit donné par
le régulateur. Elle les autorise maintenant à décider, en autonomie, à se remettre en « marche à
vue » (vitesse réduite qui permet théoriquement d’éviter toute collision avec quelque obstacle
sur les voies), jusqu’au premier quai qu’ils rencontrent, puis d’attendre cette fois un ordre
de redémarrage. Pour lever le statut expérimental, il s’agit maintenant de démontrer que le
niveau de sécurité est conservé à travers une étude cherchant à prouver le caractère GAME,
l’assurance qu’une modification (de règlement ou autre) ne dégrade pas la sécurité.
Étape 1 : Identification des risques
Les événements redoutés (cf. Figure 5.7) :
 ER1 : Chute
 ER2 : Heurt de personne
 ER3 : Heurt d’obstacle

Étape 2 : Estimation des risques


Nous allons interroger les agents opérationnels (régulateur, agent circulation, conducteurs)
pour connaître leur perception des risques et leur faire estimer. À cette fin, nous allons
construire une interface.
Étape 3 : Évaluation des risques
On utilise le logiciel d’élicitation SERUM (Système d’Évaluation du Risque par Utilité Multi-
Attribut) développé par EDF R&D et le GRID. On recherche l’arbitrage que réalisent les garants
de la sécurité sur les dimensions Blessés Légers / Blessés Graves / Morts.

86
5.4. Premiers résultats et perspectives

Fig. 5.7 – Identification des risques

5.4.2 Conclusion
L’objectif de ce document était de présenter le projet de thèse entrepris et de le contextualiser
dans le terrain. Nous pouvons donc voir qu’il est double.
Une première perspective, organisationnelle, questionne le rôle du REX comme pratique
d’aide à la décision dans le cadre du Système de Management des Risques Sécurité.
Au sein de la SNCF, le REX a été au commencement une démarche d’enregistrement d’in-
formations qui s’est mue en un principe de management et a conduit à la multiplication de
pratiques parallèles (nouvelles ou anciennes renommées). Quinze ans après son apparition à
la SNCF, nous réalisons le « REX du REX » pour lui redonner du sens au sein du système
de management des risques sécurité en relation avec les attentes des concepteurs, managers
et opérateurs de ce même système.
Une deuxième perspective, moins descriptive, expérimentale, est de tester la mise en œuvre
d’une aide à la décision dans le cadre d’une recherche-action. On entend développer
et instrumentaliser une interface entre les décisions qui impactent la sécurité, les analyses
des risques et les connaissances que le REX produit. Cette aide peut devenir précieuse dans le
contexte ferroviaire actuel où la pression sur la sécurité ne cesse de croître : l’émiettement du
système multiplie les interactions avec l’environnement qui se complexifie petit à petit.

87
6
Dynamiques d’apprentissage dans des
systèmes industriels en réseau : étude
dans l’industrie ferroviaire

Doctorante Stéphanie Tillement


Directeurs de thèse Céline Cholez (PACTE, UMR 5194)
Thomas Réverdy (PACTE, UMR 5194)
Terrain industriel RATP

Dans notre travail de recherche, nous nous intéressons aux mécanismes de maîtrise des risques
dans les systèmes en réseau comme les organisations par projet. Ces organisations par
projet, se caractérisent par le fait qu’elles concernent des métiers multiples, des fonctions ainsi
que des niveaux hiérarchiques différents : les activités sont donc distribuées entre groupes
d’acteurs distincts, mais interdépendants, qui doivent coopérer. Nous souhaitons étudier les
modes de structuration et de rationalisation du travail à l’œuvre dans ces organisations, ainsi
que leurs impacts sur les échanges et la coordination entre les différents groupes de travail,
en particulier lorsqu’il s’agit de maîtriser les risques.
Ces questions sont en lien avec les préoccupations actuelles de la RATP, notre terrain d’étude,
qui, dans le cadre de projets de modernisation, s’interroge sur la sécurité ferroviaire et sur sa
capacité à maîtriser les risques. En effet, ces dix dernières années, de nombreux projets de très
grande ampleur et visant à développer des systèmes plus performants et plus sécuritaires, ont
été lancés. Au cœur de ces systèmes, des technologies nouvelles et innovantes : les automa-
tismes à composante principale informatique. Ces projets ont entraîné des transformations
organisationnelles :
 création d’équipes de projet industriel ;
 restructuration des activités ;
 rapprochement de la conception et de la réalisation, autrement dit des bureaux d’étude
et des maîtres d’œuvre.
La sécurité ferroviaire est au cœur de tous ces grands projets engagés par la RATP. Première-
ment, ces travaux concernent des installations dites de sécurité, telles que la Signalisation
(auparavant au cœur du système ferroviaire et garante principale de la sécurité), la Voie et
à présent les Automatismes de Conduite. C’est à ces derniers que revient dorénavant (en
partie toutefois) la tâche de garantir la circulation des trains en toute sécurité (en prévenant les
risques d’accident majeur tels que la collision ou le déraillement). Ensuite, ces projets portent
sur des transformations d’installations, impliquant des modifications multiples s’étalant sur
plusieurs années, obligeant la coexistence de la configuration technique actuelle et de la confi-
guration technique en construction. Autrement dit, les agents ont à agir sur des installations
existantes, en fonctionnement, ce qui constitue un facteur de risque supplémentaire. Enfin,
un certain nombre de défaillances survenues depuis le démarrage de ces projets, conduisent à
interroger les effets des modifications technologiques et organisationnelles sur la maîtrise des
risques.

89
Facteurs socioculturels du REX

Dans notre travail, nous cherchons à comprendre comment sont partagées les informations
visant à maîtriser les risques, comment les acteurs agissent ensemble et comment ils résolvent
les problèmes, notamment aux interfaces, c’est-à-dire à l’intersection de plusieurs métiers
ou spécialités techniques. Nous faisons l’hypothèse que, dans les organisations par projet, la
complexité des liens et la transversalité des activités font que l’on atteint les limites du retour
d’expérience (REX).
Pour tester cette hypothèse, notre démarche a consisté, dans un premier temps, à partir de
la réalisation de REX sur des événements se produisant dans le cadre de projets dans le
domaine ferroviaire. Les conclusions de ces REX nous ont menés à remonter de proche en
proche toutes les étapes du processus de gestion de modifications des installations ferroviaires,
nous conduisant à réaliser un diagnostic organisationnel prenant en compte les dimensions
dynamiques et informelles (autrement dit non prescrites) des situations de travail.

L’objectif de notre travail est de proposer une méthode permettant de dépasser les limites
du REX dans les organisations par projet. Cette méthode, par le diagnostic organisa-
tionnel qu’elle comporte et notamment par l’observation des pratiques informelles de
partage d’expérience et de maîtrise des risques, a pour but d’identifier les éléments favori-
sant les processus d’apprentissage et contribuant par là même à une meilleure sécurité.

Ce chapitre s’articule autour de trois parties. Dans la première, nous explicitons le problème,
en nous attachant à montrer comment il s’est petit à petit construit, au fur et à mesure de nos
investigations de terrain et au plus près des acteurs. Nous exposons ainsi les différentes étapes
de notre recherche, qui nous ont amenés à reformuler progressivement notre question de
recherche. Nous nous employons, à partir d’exemples de terrain, à démontrer les limites du REX
dans les organisations par projet. Nous présentons les difficultés auxquelles sont confrontés
les acteurs dans le cadre de leur activité de travail1 , ainsi que le poids des contraintes issues
en grande partie des modes de structuration du travail. Nous cherchons également à mettre en
lien ces difficultés et ces contraintes avec la capacité des acteurs à maîtriser les risques dans ces
organisations par projet. Dans une seconde partie, nous exposons en quoi il est nécessaire de
résoudre ces problèmes pour améliorer la sécurité, et quelle peut être notre contribution dans
ce domaine. Nous montrons comment il est possible d’élargir, ou de dépasser le REX grâce à un
diagnostic organisationnel. Dans la troisième partie, nous exposons le cadre théorique mobilisé
pour réaliser cette étude. Nous nous appuyons d’une part sur les travaux relatifs aux risques,
ayant comme point de départ soit les accidents (et leur analyse), soit le fonctionnement normal
des organisations à risques d’accident majeur, et, d’autre part, sur la littérature concernant les
organisations par projet. Notre contribution théorique consiste à mettre en lien ces deux cadres
théoriques, pour pouvoir, au vu de nos données expérimentales, identifier et conceptualiser
les mécanismes de maîtrise des risques dans les organisations par projet. En conclusion, nous
présentons une synthèse des différents points discutés dans ce chapitre, ainsi que les premiers
résultats et apports possibles de notre recherche. Nous terminons en exposant les limites de
notre travail.

6.1 Du retour d’expérience aux vulnérabilités des organisations par projet


Nous allons tout d’abord présenter notre terrain de recherche, les grands projets de modifica-
tions dans le domaine ferroviaire, ainsi qu’un état des lieux du REX effectué dans le cadre de
ces projets. Nous exposerons ensuite les résultats issus de nos premières observations.

1
L’activité de travail englobe l’ensemble des actions effectuées pour faire le travail demandé, y compris tout ce qui
n’est pas prescrit.

90
6.1. Du retour d’expérience aux vulnérabilités des organisations par projet

6.1.1 Au centre de notre recherche : les grands projets de modifications


Les grands projets de modifications des installations ferroviaires nous sont apparus particuliè-
rement intéressants pour mener à bien notre recherche. Ces projets de très grande ampleur
sont question d’actualité à la RATP et nombre d’entre eux ont été lancés de manière conco-
mitante. Ils concernent le renouvellement et la modernisation des installations ferroviaires,
devenues obsolètes. Au cœur de ces projets, se situent les Automatismes de Conduite : la
RATP souhaite en effet rendre à la fois plus sûre et plus performante son offre de transport,
notamment en réduisant l’intervalle entre les trains. Pour cela, il s’agit de remplacer les équi-
pements en charge du mouvement des trains, de technologie ancienne, par des technologies
modernes (i.e. l’informatique). Ces automatismes constituent la clé de voûte de ce que la RATP
nomme le « système »2 . Ce « système », pour fonctionner et permettre le mouvement des
trains en toute sécurité, est en interface avec un grand nombre d’autres installations, telles
que la Voie et la Signalisation.
Ces grands projets impliquent une organisation spécifique (cf. Figure 6.1), une restructuration
avec en premier lieu la création d’équipes projets :

Une équipe projet

DEFINITION Une équipe projet est une équipe de personnes issues de services, directions, parfois d’établissements
différents, affectées à temps complet ou partiel au développement d’un projet. Ces personnes sont
de métiers, de cultures ou même de nationalités différentes. L’animation du projet est confiée à un
chef de projet garant de l’atteinte des objectifs.3

Fig. 6.1 – Schéma de l’organisation d’un projet

Voici les caractéristiques de ces projets, autour desquelles nos questions de recherche se
construisent :
 ils mobilisent une pluralité d’acteurs et de corps de métiers, ceux-ci étant fortement
interdépendants tout au long du déroulement du projet (réseau complexe d’acteurs) ;
 ils font l’objet d’une organisation basée sur une division du travail, tant fonctionnelle
que par métiers, ceux-ci ayant généralement en charge des « sous-projets » dans leur
spécialité ;
 des enjeux stratégiques, financiers, temporels, mais aussi sécuritaires importants leur
sont associés ;
 l’incertitude, les imprévus et l’ambiguïté sont omni-présents ;
 plus le projet avance, plus les décisions et les actions ont un caractère irréversible.

Comme précisé en introduction, notre démarche de recherche est principalement inductive,


c’est-à-dire que c’est au vu de nos premiers résultats de terrain que se construisent nos

2 La compréhension de ce qu’englobait ce terme « système » nous a posé question. Ici, il est à considérer dans une
acception essentiellement technique ; c’est ainsi en effet que l’utilisent les acteurs. Dans ce cadre, les interfaces
prises en compte par les acteurs sont également techniques.
3
Source : fmk consulting.

91
Facteurs socioculturels du REX

questions de recherche et que s’affine notre problématique. Nos interrogations de départ


portaient sur la capacité des acteurs à agir et à apprendre ensemble au sein d’organisations en
réseau, dans lesquelles les activités sont distribuées entre acteurs aux appartenances multiples.

6.1.2 Premiers constats sur le REX à la RATP : points forts et limites


Nous présentons ici le contexte du REX sur notre terrain d’étude. Nous faisions l’hypothèse
que la conduite de ces démarches REX dans des organisations multi-acteurs telles que les
organisations par projet, s’avérait difficile. Premièrement, le REX transversal nous semblait
malaisé à mettre en place, la diffusion du REX s’étendant rarement, comme nous allons
l’expliciter ci-dessous, au-delà des frontières du métier directement concerné par l’événement
analysé. Deuxièmement, les causes profondes notamment organisationnelles, étaient rarement
recherchées à cause de leurs coûts très importants en termes d’organisation et de politique
[Gilbert 2001].

Le REX métier, des acteurs engagés, une démarche courageuse

Au sein de l’entreprise d’accueil, il existe bel et bien une démarche de REX animée. Dans le
département 4 plus spécifiquement étudié, en charge de l’ingénierie des systèmes ferroviaires,
cette démarche est particulièrement vivante au niveau des métiers (REX métier). Tous les
incidents font l’objet d’une analyse, plus ou moins approfondie en fonction de l’importance
de l’incident et du nombre d’acteurs impliqués dans celui-ci. Si l’événement est d’importance
mineure et qu’il concerne un métier unique, ce dernier décide de manière autonome s’il fera
ou non l’objet d’un REX et prend en charge sa réalisation le cas échéant. Si l’événement est
significatif ou critique, tant en termes de conséquences que du nombre d’acteurs impactés,
chaque métier réalise systématiquement un REX, dans les jours qui suivent les incidents. En
pratique (tel que nous avons pu l’observer), le responsable hiérarchique du groupe métier
et ses adjoints se réunissent avec les collègues impliqués dans l’incident, le correspondant
REX de ce groupe et, éventuellement, certains « nouveaux arrivants » (le but étant de les
former en les confrontant aux incidents susceptibles de se produire). Les agents expliquent les
bon fonctionnement circonstances de l’incident, reviennent sur ses conséquences et exposent quelles en sont les
du REX métier causes selon eux. S’ensuit une discussion entre les différents participants examinant toutes les
causes possibles de l’incident, y compris celles pouvant impliquer des agents d’autres métiers,
les validant ou les rejetant au fur et à mesure. L’ambiance lors de ces réunions est relativement
sereine : on recherche davantage des causes que des coupables. À la suite de ces réunions, le
REX est rédigé et envoyé à tous les agents du groupe ainsi qu’aux responsables hiérarchiques
du département.
On constate tout d’abord que l’intérêt de ces REX, ainsi que l’importance de les réaliser et de
les suivre, sont reconnus au sein de chaque métier. Des acteurs sont affectés à la réalisation
de ces REX, et très impliqués dans cette tâche. Le directeur de département les suit d’ailleurs
de près, lors de réunions bimestrielles où tous les correspondants REX sont présents. Chaque
réunion est une discussion avec les correspondants REX de chaque métier : il s’agit du retour
sur les derniers événements marquants, mais surtout un suivi des plans d’action lancés suite
à chaque REX.
Le second constat est que l’analyse des causes est poussée et transparente. Ainsi, nous avons
pu observer que les acteurs ne se cantonnaient pas à l’identification de causes techniques
ou humaines, mais recherchaient aussi des causes liées aux facteurs organisationnels. À titre
d’exemple, ils s’interrogeaient ainsi sur la qualification de leurs agents ou des sous-traitants.

4
Précisons que la RATP est une entreprise décentralisée. Mises à part les fonctions classiques de support, les activités
opérationnelles sont partagées entre différentes unités autonomes, appelées départements. Il existe des départe-
ments d’exploitation (métro, bus…) et des départements techniques (matériel roulant ferroviaire, équipements
et systèmes de transport…). Les départements techniques regroupent en général des activités de maintenance et
d’ingénierie, spécialisés dans différents métiers.

92
6.1. Du retour d’expérience aux vulnérabilités des organisations par projet

Des analyses pertinentes pourtant peu partagées entre métiers

Nous avons toutefois observé que les résultats des analyses menées, bien que souvent per-
tinentes, sont rarement partagés avec les acteurs de métiers différents : leur diffusion est
souvent restreinte au collectif de travail ou groupe professionnel directement concerné par
l’incident pour lequel une démarche de REX a été lancée. À titre d’exemple, même lorsqu’un
incident se produit dans le cadre d’un projet, concerne plusieurs métiers, et peut impacter le
déroulement dudit projet, les équipes projet prennent très rarement part au REX et, dans une
large mesure, ne le consultent pas. Cela peut s’expliquer en partie par le fait que ces REX ont
essentiellement pour objet les incidents se produisant lors des phases de réalisation. Ce sont
donc principalement les équipes de réalisation qui, étant en première ligne, sont concernées
et surtout, de ce fait, mises en cause. Les équipes situées en amont, conception ou projet,
considèrent ces événements comme exclusivement liés aux aspects « chantiers ». Or, nous le
verrons, les événements se produisant sur les chantiers trouvent souvent leur origine dans
des décisions prises en amont.
Une autre situation met en évidence le faible partage des informations, tout au moins formel-
lement, entre groupes professionnels différents : il s’agit des réunions entre départements manque de
organisées suite à un incident significatif perturbant l’exploitation d’une ligne. Ces réunions transversalité
sont pilotées par le directeur de la ligne impactée par l’incident, et rassemblent à la fois des
exploitants et des représentants des services techniques possiblement liés à l’incident. Ce
qui frappe lorsque l’on compare ces réunions aux REX métiers, c’est le peu d’informations
échangées et le relatif « silence » des métiers. Elles visent principalement à revenir sur la
chronologie de l’événement, à imputer des responsabilités et à mettre en œuvre des actions
correctives dans les différents domaines liés à l’incident. Cela dit, les causes profondes, notam-
ment organisationnelles, qui pourraient être partagées entre les différents acteurs, ne sont
finalement que peu abordées. Les mêmes limites sont visibles au niveau des plans d’action.
Là encore, chaque métier impliqué s’assure du suivi du plan d’action dans sa spécialité, sans
avoir de visibilité sur l’avancement des actions correctives dans les autres métiers. En outre,
la question du suivi se pose de façon problématique lorsqu’une action implique plusieurs mé-
tiers : qui s’assure alors du suivi des actions ? Qui en est responsable ? Les différents métiers
se rejettent en général la responsabilité de ce suivi, sans parfois qu’une décision définitive ne
soit prise.
Afin que le lecteur suive notre raisonnement et comprenne le déplacement progressif de
notre problématique, nous exposerons dans le paragraphe suivant les différentes étapes de
l’analyse organisationnelle menée au sein et à différents niveaux de projets de modifications
des installations ferroviaires, étapes qui nous ont permis de faire émerger un problème de
recherche. Les premiers résultats de nos travaux nous ont conduits à reformuler la question
de départ : nous avons déplacé notre objet de recherche vers les mécanismes organisationnels
de maîtrise des risques dans les projets. Dans ce cadre, le REX n’est plus pour nous un objet
de recherche en tant que tel, mais plutôt un instrument au service de notre recherche. Cela
dit, utiliser le REX de cette façon nous permet d’enrichir les connaissances sur ses facteurs
socio-culturels de réussite ou d’échec : nous avons pu ainsi directement nous confronter à
certaines résistances ou au contraire découvrir quelques moteurs du REX.

93
Facteurs socioculturels du REX

6.1.3 Démarche d’investigation : de la réalisation de REX au diagnostic organisationnel


Les étapes que nous allons présenter ici correspondent à différentes investigations de terrain.
Nous avons effectué un travail comparatif auprès des agents de deux maîtres d’œuvre, la
Signalisation et la Voie, et sommes également allés à la rencontre des acteurs en amont, les
équipes projet et la conception. Pour chacune de ces investigations, portant sur des groupes
fonctionnels, mais aussi professionnels particuliers, nous exposerons très brièvement les
principales conclusions auxquelles nous avons abouti et les perspectives ouvertes.

Étape 1 : analyse de deux incidents graves concernant la Signalisation ferroviaire


Nos travaux expérimentaux débutent réellement lorsque deux incidents graves de signalisation
se produisent sur le réseau ferré. Ces incidents sont liés à des travaux menés dans le cadre
d’un grand projet de modification dont la Signalisation est un des maîtres d’œuvre. La Signali-
sation a en effet en charge la réalisation de l’ensemble des modifications des installations et
équipements de signalisation induites par ces projets, liées aux évolutions « système ». Cette
phase de réalisation intervient suite à des étapes très importantes de conception et de contrôle
(basées sur le principe de la double vérification). Ces incidents ne sont pas anodins, tant en
termes de causes que de conséquences, et nous paraissent riches d’enseignements à plusieurs
égards.
Contexte spécifique des incidents. Tout d’abord, ces incidents se produisent dans des
circonstances particulières, à savoir suite à des travaux réalisés quasi exclusivement de nuit,
dans un laps de temps extrêmement court (trois à quatre heures), sachant que, contrainte
pression temporelle supplémentaire, l’exploitation reprend dès cinq heures du matin. La situation après travaux
doit donc être parfaitement sécuritaire, mais aussi rendue à temps pour cette reprise, comme
nous l’explique ce vérificateur :

Témoignage d’un vérificateur

On a un laps de temps très court pour faire nos essais, il faut que ça fonctionne en toute sécurité le
matin. Et on se dit : « Est-ce que j’ai pas oublié quelque chose, est-ce que j’ai bien tout vu ? » Et
ça trottine ça trottine, ça trottine… C’est pas tellement bon pour l’état d’esprit. L’aspect sécurité,
et même disponibilité, ça rentre en ligne de compte. Il faut que les installations soient disponibles
pour l’exploitation. Même si c’est pas un incident anti-sécuritaire, ça peut être un incident qui nous
amène des indisponibilités, et ça, c’est un problème aussi.

interdépendance Du fait de ces contraintes temporelles, la planification des travaux est très importante. En effet,
il s’agit d’une phase critique, qui fait l’objet d’efforts considérables et constitue un casse-tête
pour les acteurs projets comme pour les autres. Toute perturbation émanant d’un groupe
professionnel donné venant modifier cette planification entraîne des effets en chaîne, bien
au-delà du seul groupe professionnel de départ.
De plus, la Signalisation ferroviaire n’est, d’une certaine manière, pas tout à fait un maître
d’œuvre comme les autres. En effet, elle joue, et ce depuis toujours, un rôle crucial dans la
sécurité ferroviaire : elle n’est pas qu’une annexe au système. Intervenir sur des installations
dédiées à la sécurité présente bien sûr des risques particuliers. Nous avons observé que les
risques induits par ces projets de modification sont évidents pour les différents acteurs et sont
au cœur de leurs préoccupations :

Témoignage d’un chargé d’affaires

« Entre les risques et les modifs ! Qui dit modification dit risque de toute façon ! […] Le risque est
toujours là, parce qu’on travaille quand même sur du matériel de sécurité [dont la] fonction est
aussi d’assurer la sécurité ferroviaire, la gestion des trains, la circulation des trains en toute sécurité.
Donc, à partir du moment où on va modifier, forcément il y a des risques. »

Ainsi, étudier l’activité de travail des acteurs « signalisateurs » nous offre des informations
essentielles sur la façon dont les risques sont pris en compte et maîtrisés à leur niveau, dans le
cadre de leur activité de travail. Cela nous éclaire également sur la manière dont ces risques
sont évalués et négociés avec les autres groupes de travail, à savoir les équipes projet qui
fixent les caractéristiques systèmes mais aussi l’enveloppe budgétaire et les plannings.
Méthodologie. D’un point de vue méthodologique, partir de ces incidents nous permet de
« tester » nous-mêmes une démarche de REX, en menant une analyse à la fois large et détaillée

94
6.1. Du retour d’expérience aux vulnérabilités des organisations par projet

de ces incidents. Avant de lancer notre propre REX, nous avons bien entendu commencé
par prendre connaissance des REX réalisés par le groupe des signalisateurs. Nous avons
ensuite réalisé des entretiens semi-directifs avec les agents impliqués dans ces incidents,
qu’ils soient surveillants de travaux, chargés d’affaires, ou en charge de la vérification des
schémas et des essais sur site. Il nous est apparu à ce stade que, pour remonter aux causes
profondes de ces incidents, il nous fallait accéder à une compréhension fine de l’activité de
travail de ces agents, mais aussi de l’organisation du travail, pour identifier à terme comment
ces dernières impactaient la capacité de ces acteurs à maîtriser les risques. Pour cela, nous
avons réalisé une nouvelle série d’entretiens, avec d’autres agents de ce métier, mais aussi
en analysant des « situations de travail », c’est-à-dire en suivant et en observant ces agents
de nuit, pendant les travaux et essais. Ces phases d’observation se sont avérées tout à fait
essentielles pour accéder aux contraintes de travail des acteurs, mais aussi aux savoir-faire
mobilisés dans l’action.
Premières conclusions à l’issue de l’étape 1. Nos premières observations de terrain nous
ont permis d’identifier un certain nombre de risques parmi lesquels certains sont inhérents à
l’activité de modifications et d’autres sont plus spécifiquement liés aux contraintes nouvelles
apportées par l’organisation par projet.
Tout d’abord, l’activité de réalisation de modifications est une activité intrinsèquement risquée.
Deux types de risques principaux se dégagent :
Le risque d’incohérence technique. Ce qui se joue ici, ce sont les interfaces techniques, entre
la Signalisation et le « système » ou entre la Signalisation et d’autres maîtres d’œuvre. Il faut
s’assurer que les modifications sont compatibles entre elles, et qu’une modification effectuée risques émergents
sur une installation ne mettra pas en péril le fonctionnement d’une autre. La coordination aux interfaces
entre spécialités techniques est donc cruciale pour prévenir ce type de risques. Or, pour être à techniques
même de se coordonner, les agents doivent connaître les limites du travail des différents corps
de métier, c’est-à-dire pouvoir répondre à la question : « Où s’arrêtent les prérogatives de mon
collègue ? », afin de déterminer à quel moment et sur quels aspects ils doivent intervenir. Nos
premiers résultats montrent que les frontières délimitant les tâches des uns et des autres sont
relativement floues.

Témoignage d’un vérificateur

« On a du mal à définir les frontières. Il y a des frontières que mes collègues ou moi-même, on
n’arrive pas à cerner par moment, donc du coup on se pose des questions, et la vision de tout un
chacun vis-à-vis de ce qui est demandé est différente. On essaye quand même de tous parler de
la même chose, c’est pour ça qu’il y a pas mal de questions qui sont posées en ce moment pour
essayer de vraiment définir les limites de ce qui nous est demandé. »

Le risque d’erreurs, tant de conception (une erreur glissée dans les schémas) que de réalisation
(erreurs de câblage par exemple). La maîtrise de ces risques est basée sur la redondance.
Premièrement, lors de la phase de conception, tous les schémas sont doublement vérifiés (par risque d’erreur
deux personnes distinctes supposées indépendantes). Ensuite, pendant la phase de réalisation,
deux agents (un de l’entreprise donneuse d’ordres et un sous-traitant) sont présents pour
superviser les opérations de câblage, ainsi que les essais. Pour autant, les erreurs sont toujours
possibles, et redoutées, comme en attestent les témoignages de nombreux signalisateurs :

Témoignage d’un signalisateur

« L’erreur, ça peut arriver, même si on n’a pas le droit à l’erreur, c’est ça le problème. » « Malheu-
reusement, même si on est dans un bon état d’esprit pour faire le travail, ça n’empêche pas qu’on
puisse louper quelque chose. Si on fait une grosse erreur, et si on la loupe, parce que ça se peut,
l’entreprise5 la loupe et nous, on la loupe, on peut laisser une grosse erreur passer et … y’a personne
pour la rattraper. On est vraiment le dernier garant avant l’exploitation. »

Autre point important mis en évidence : ce sont durant des opérations dites « classiques »,
« bien rôdées », ne présentant a priori aucune difficulté majeure, que des incidents surviennent ;
cela nous amène à interroger la redondance organisationnelle, censée prévenir le risque
d’erreurs.

5
Par entreprise, nous entendons entreprise sous-traitante.

95
Facteurs socioculturels du REX

Le second point à souligner est l’augmentation très importante du nombre de projets à traiter,
charge de travail donc de la charge de travail des différents agents. On observe une accélération du rythme de
augmentée renouvellement des installations, qui s’accompagne d’une réduction des délais de conception et
de réalisation. Les temporalités des différentes phases des projets sont extrêmement serrées, en
plus d’être interdépendantes : la pression temporelle revient en permanence dans le discours
des agents et constitue une source de stress importante, qu’elle soit liée au suivi quotidien
d’une affaire ou aux travaux et essais de nuit.

Témoignages de signalisateurs

« Cette installation dans sa configuration d’origine, quand elle a été remaniée il y a six ans, il y
avait un chargé d’affaires, deux surveillants de travaux à temps complet, un responsable d’essais
RATP et côté entreprise, y’avait du monde aussi. Aujourd’hui, pour quelque chose qui est x fois
plus gros, je dirais pas combien, mais x fois plus gros, il y a un chargé d’affaires, une moitié de
surveillant de travaux, un responsable d’essais et allons-y ! Et il faut que ça avance beaucoup plus
vite qu’avant… »
« Il y a le travail de nuit, il y a le temps court pour travailler. Je dirais pas qu’il faut en faire le plus
possible dans le moins de temps possible mais c’est presque ça, parce qu’on a quand même des
dates butées de mise en service, donc il faut qu’on fasse tout dans les délais, les fameux coûts et
délais et… il ne faut pas qu’il y ait d’incidents le matin. »

Troisièmement, du fait de la difficulté de circonscrire dès le départ le problème et les besoins


réels de modifications, les agents ont en permanence à gérer des modifications supplémentaires
apparaissant en cours de projet, ce qui entraîne une « accumulation de risques » : les agents
peuvent être amenés à reprendre partiellement des études (d’où un risque de perte de vision
projet en évolution globale), ainsi qu’à modifier la planification initialement établie (déplacer des tâches, en ajouter
permanente de nouvelles…). Un chargé d’affaires nous décrit les problèmes quotidiens que lui posent ces
modifications incessantes :

Témoignage d’un chargé d’affaire

« L’industriel [sous-traitant] dans son marché doit adapter la signalisation au système, c’est-à-dire
faire les adaptations nécessaires de la signalisation pour faire fonctionner son système. Certaines
adaptations avaient été vues dès le départ, et d’autres ont été découvertes en cours de route, pour
des notions qu’on ne pouvait vraiment pas prévoir : des temps de réponse de système, un signal
mal placé à mettre ailleurs parce qu’il y aurait un risque pour la sécurité. […] Une de nos grosses
préoccupations jusqu’à maintenant, ça a été de s’articuler sur le planning du système. Nous, on
avait une forte contrainte, c’est de se glisser, de s’intercaler dans des créneaux où, eux, ils n’avaient
pas besoin de rouler. Ça nous a obligé à faire une gymnastique phénoménale qui n’arrêtait pas de
changer, à cause de l’évolution du système, pour essayer de s’intercaler là où on pouvait aller, là où
ils n’étaient pas. Donc ça a été des reprises de planning incessantes. »

On voit en outre que ces modifications incessantes liées au système, très contraignantes
contraintes subies, pour les signalisateurs, ne sont ni négociées, ni, apparemment, négociables. Elles paraissent
non négociables totalement subies.
Ensuite, la division du travail, qui reste forte dans ces organisations par projet, entraîne un
isolement de certains groupes d’acteurs. Ceux-ci vivent alors « en-dehors » du projet : ils ne
sont pas consultés lors des spécifications initiales, et ont ensuite souvent des difficultés à appré-
hender le sens (voire l’intérêt) des modifications qui leur sont demandées. Deux vérificateurs
nous confient ainsi :

Deux vérificateurs témoignent

« C’est un peu cloisonné quand même. Nous, on est à part ! C’est comme ça, on est à part. »
« Nous on travaille dans notre coin. On ne sait pas les autres parties du système. On n’a pas la
vision de l’ensemble, juste notre vision locale, de notre partie. »

perte de vision Nous voyons ainsi que ces nouvelles formes d’organisation, dites flexibles, ne diminuent en rien
globale, le cloisonnement, qui, créé d’un côté par la division du travail et les modes de rationalisation
cloisonnement classiques, est renforcé indirectement par les conflits latents entre logiques contradictoires de
l’organisation par projet. Celle-ci entraîne par ailleurs une hyper-sollicitation des individus

96
6.1. Du retour d’expérience aux vulnérabilités des organisations par projet

(surtout les chargés d’affaires du fait des modifications à gérer). Pour y répondre, les individus
créent des réseaux d’alliances, dessinant de nouveaux collectifs aux identités professionnelles fracture signalisa-
très fortes, renforçant la fracture entre signalisateurs et gestionnaires. teurs/gestionnaires

Étape 2 : étude des groupes amont, équipes projet et conception


Au terme de l’étape 1, nous avons identifié de nombreuses contraintes, directement issues
du projet, comme facteurs de risques importants. Ces contraintes ont pour conséquence de
perturber l’activité des signalisateurs et leur capacité à maîtriser les risques. Principalement :
 la pression temporelle ne permet plus une double vérification exhaustive des schémas,
augmentant ainsi le risque d’erreurs ;
 l’accumulation des modifications fait perdre progressivement une vision globale du sys-
tème et de ses interfaces, du sous-projet à mener et de l’enchaînement de ses phases ;
 par ailleurs, le cloisonnement nuit aux négociations entre les agents de signalisation et
les équipes projet.
Pour une meilleure compréhension de l’organisation projet dans son ensemble, mais aussi
par souci d’objectivité, nous avons décidé d’aller à la rencontre des groupes professionnels et
fonctionnels situés en amont dans la chaîne de modifications, à savoir les équipes projet et la
conception.
Méthodologie. Nous avons mené une nouvelle série d’entretiens semi-directifs (25 au total)
visant à mieux comprendre la place, le rôle, et les responsabilités de ces différents acteurs. Nos
interrogations portaient principalement sur la façon dont ils interagissaient avec les autres
collectifs de travail, principalement les maîtres d’œuvre et plus spécifiquement la Signalisation.
Nous voulions identifier plus précisément les contraintes émanant du projet, mais aussi étudier
si les équipes projet percevaient elles aussi cette coupure avec les signalisateurs, et, le cas
échéant, si cela était source de difficultés, voire de conflits. Ces entretiens, n’ont pas pu,
en revanche, être complétés par des observations. En effet, le travail des concepteurs et
responsables projet est principalement un travail de bureau. Ils participent également à de
nombreuses réunions, mais étant donné la teneur confidentielle des informations échangées
lors de celles-ci, nous n’avons pu obtenir l’autorisation d’y accéder.
Conclusions et perspectives à l’issue de l’étape 2. La première chose qui nous a frappé
en allant à la rencontre des membres des équipes projet, est le décalage entre leur discours
et celui des signalisateurs. Chez les membres des équipes projet, les descriptions sont très
factuelles, très procédurales. Les problèmes éventuels, s’ils existent, ne sont que très rarement discours décalé
évoqués, et le plus souvent sous un angle technique. Pour autant, malgré ce discours quelque
peu formel, certains éléments ressortent.
Premièrement, l’organisation n’est pas générique, mais spécifique à chaque projet. L’organi- hétérogénéité
sation mise en place, le nombre de personnes, leurs rôles et responsabilités, et même leur
positionnement spatial varient en fonction des projets. Tout dépend également du parcours
professionnel antérieur des personnes, de leurs compétences propres, mais aussi de la façon
dont eux perçoivent ce qu’il faut mettre en avant dans leur activité (projet ou entité d’origine
— conception, réalisation) et ce que doit être une équipe projet. En outre, chaque projet est
différent (sous-traitants différents, modifications techniques différentes et de plus ou moins
grande ampleur…). Les formes d’organisation mises en place pour mener à bien les différents
projets sont donc très hétérogènes, ce qui ne facilite pas la lisibilité de ces organisations pour
les acteurs situés en aval. Il règne ainsi un « flou » autour des attributions concrètes de cette attributions floues
équipe projet et de ses membres.
Deuxièmement, point très important, les « équipes projet », bien que nommées ainsi dans
l’organigramme, ont d’abord, paradoxalement, un rôle de maître d’œuvre, entièrement tourné
vers les automatismes de conduite : leurs membres sont en premier lieu chargés de la concep-
tion et de la réalisation de cette partie technique. Du fait des opérations à mener, ainsi que des
contrats importants à gérer avec l’industriel titulaire du marché « automatismes », on a affecté
plusieurs ingénieurs à cette maîtrise d’œuvre, constituant ainsi une équipe. Ce n’est donc pas
un maître d’œuvre comme les autres. Tout d’abord, les ressources qui lui sont affectées sont
bien supérieures à celles des autres maîtres d’œuvre. Ensuite, les automatismes constituant le
cœur du système, cette équipe s’est vue attribuer un rôle central, toutes les autres maîtrises
d’œuvre devant se « caler » avec le système, tant techniquement, qu’en termes de planning
et de ressources. Ainsi, c’est finalement à ce maître d’œuvre qu’il a été décidé de confier la
coordination générale, sans que cette responsabilité soit véritablement établie formellement.

97
Facteurs socioculturels du REX

qui coordonne ? La personne en charge de cette coordination n’est pas toujours facile à identifier, les agents
eux-mêmes ne s’accordant pas toujours sur la personne devant jouer ce rôle de coordinateur.

Dialogue entre deux membres d’une équipe projet

Interviewer : J’ai bien compris qu’il y a un chef des essais bien défini, chargé de la coordination
pour la partie essais. Est-ce qu’il y a la même chose côté travaux ?
Interlocuteur 1 (I1) : Non.
Interviewer : Oui, j’ai l’impression que ça a disparu. Ça existait dans le temps, m’a-t-on dit…
Interlocuteur 2 (I2) : Oui, il avait existé sur le projet PCC L4, mais là…
I1 : Non c’est clair. Enfin… il y a quand même une coordination qui est faite… au niveau du
déploiement des équipements des industriels, c’est l’équipe réalisation. En fait il y a plusieurs
niveaux de coordination. Y’a le niveau coordination au niveau des différents MOEP6 où…
I2 : Je t’interromps. Paul finalement il n’a pas un rôle de coordinateur technique ? Il réunit réguliè-
rement les MOEP. Paul qui est le responsable de l’équipe.
I1 : Oui, il y a un planning de coordination au niveau des MOEP, y’a quand même une coordination
des MOEP qui est faite par le chef de projet industriel. Donc on va dire que c’est un rôle qui est
présent.

En outre, il est à noter que la signalisation et les équipes projet font partie de la même unité, et
ont donc la même hiérarchie. Cela influence grandement les prises de décisions. On observe
qui décide ? des jeux de négociation : les acteurs ne pouvant pas négocier directement entre eux, mobilisent
leur hiérarchie pour influencer les décisions, et en particulier hiérarchiser les priorités (entre
projets tout d’abord, et entre tâches à réaliser au sein d’un même projet ensuite).
Troisièmement, les entretiens confirment l’existence d’un « fossé » entre signalisateurs et
équipes projet. Les membres des équipes projet se sentent également en décalage par rapport
aux signalisateurs, même s’ils interprètent ce décalage de manière différente. Tout d’abord, on
ne se situe pas ici dans une logique de « plateau projet »7 , aucune autre spécialité technique
que les automatismes n’étant détachée et n’appartenant à cette équipe projet. Les équipes
« aval » sont d’ailleurs peu consultées en amont lors des premiers choix techniques, parfois à
leur regret :

Témoignage d’un vérificateur signalisateur

« Nous, au fond, on n’intervient pas du tout dans les décisions en tout cas, dans la technique, etc.,
les choix, non, pas vraiment. On n’est pas sollicité pour ça. Sinon il y a des trucs qui seraient faits
différemment je pense… c’est même sûr. Il y a une installation sur la ligne x, si on avait demandé
l’avis de notre service, ça aurait été fait complètement différemment. »

Ensuite, on remarque chez les membres des équipes projet une conception de la maîtrise des
risques et une manière d’aborder la sécurité très différentes. Du côté des signalisateurs, il n’y a
pas de réelle analyse de risques (au sens AMDEC8 ) : les risques s’appréhendent essentiellement
sur le « terrain », au contact des installations, de façon très concrète. Dans la partie automa-
tismes en revanche, toutes les analyses de sécurité, tous les tests sont réalisés en amont, avant
leur installation sur le terrain, le plus souvent à l’aide de méthodes formelles et de tests sur
simulateurs. Quelques tests sont bien réalisés sur le terrain, mais « le gros » des vérifications
conception n’y est pas analysé. Pour illustrer cela, contrairement aux tests signalisations effectués par
différente de la des vérificateurs essayeurs de signalisation, qui sont de véritables experts et pour lesquels
maîtrise des risques une grande partie des problèmes se règle pendant les phases d’essais sur le terrain, les tests

6
MOEP : Maîtrise d’Œuvre Particulière
7 Un plateau projet a plusieurs caractéristiques :

 le projet devient une structure autonome, indépendante du reste de l’entreprise ;


 les intervenants sont détachés de leur structure d’origine et rattachés hiérarchiquement au chef de projet ;
 c’est le type d’organisation employé pour raccourcir les délais et les coûts d’un projet, choisie lorsque les
efforts doivent être concentrés sur le projet.

8
Analyse des Modes de Défaillance, de leurs Effets et de leurs Criticités.

98
6.1. Du retour d’expérience aux vulnérabilités des organisations par projet

pour la partie automatismes sont suivis par des surveillants de travaux. Si les tests ne sont pas
conformes à leurs cahiers de tests, les surveillants ne doivent rien tenter sur le terrain : on ne
leur demande d’ailleurs pas de réfléchir aux causes de ces non conformités. Ils se contentent
de relever leurs résultats, à charge pour les ingénieurs de les analyser ensuite, et de décider
des actions correctives éventuelles à apporter au logiciel. Ces conceptions différentes de la
maîtrise des risques cristallisent les conflits – ou du moins la coupure – entre ces groupes
professionnels. Alors que les signalisateurs se plaignent de ne pouvoir effectuer correctement
les opérations de sécurité du fait des contraintes projet pesant sur eux, les équipes projet
reprochent aux signalisateurs d’une part la lenteur de leurs vérifications, qui met en péril conflit
les délais des projets, et, d’autre part, les risques induits par le peu d’intérêt porté par les
signalisateurs sur les autres parties du système et les interfaces.

Témoignage de plusieurs membres des équipes projet

« Eux [les signalisateurs] quand ils valident leurs schémas et tout ça, ils ne se soucient pas du tout
de la sécurité système, ils se soucient de l’application de principes qui sont dans les notices de
signalisation, un point c’est tout. Donc la sécurité de l’ensemble elle est basée sur les analyses de
ces notices en amont. C’est en amont qu’il faut s’en soucier parce que après sinon c’est trop tard,
ça prend du temps ».
« En plus c’est très lent, c’est très lent. Nous on va plus vite qu’eux, et ils nous mettent en retard,
c’est pour ça que les dates que je vous donne ne cessent de se décaler. »
« Le problème de la signalisation, c’est que vous avez un spécificateur, vous avez un vérificateur de la
spécification, vous avez un concepteur, un vérificateur de conception, un réalisateur, un vérificateur
de la réalisation. Grosso modo pour faire une modif, il y en a pour un an. Alors imaginez dans le
cas [de ce projet], où il y a quelques centaines de modifs ! On sent bien que c’est le nerf de la guerre,
ce truc-là. »

Finalement, ces conceptions différentes de la maîtrise des risques révèlent des tensions entre
des territoires professionnels qui semblent en compétition. La signalisation, autrefois prin- impact de
cipale garante de la sécurité, placée au centre du système, voit en effet son domaine de l’évolution
compétences peu à peu entamé par le passage de l’électromécanique aux technologies mo- technologique
dernes que sont les automatismes : à moyenne échéance, les signalisateurs risquent de perdre
la partie « noble » de leur métier. Aller à la rencontre des chefs de projet nous a ainsi permis
de mieux comprendre les enjeux liés aux évolutions des métiers et à leurs frontières dans ces
organisations par projet.

Étape 3 : retour vers l’aval avec un autre maître d’œuvre, la Voie


Les résultats de ces entretiens nous ont conduits à réinterroger les maîtres d’œuvre. Nos princi-
pales attentes portaient sur la possibilité de généraliser les conclusions tirées de nos premières
investigations. En effet, rien ne prouvait que ces conclusions n’étaient pas spécifiques à la
Signalisation, qui, nous l’avons vu, est un métier particulier, avec une identité professionnelle
forte.
Intérêt d’un retour vers l’aval. Nous avons donc décidé d’aller à la rencontre d’un autre
maître d’œuvre, la Voie, pour effectuer un travail comparatif. Nous cherchions en particulier
à mettre en évidence les contraintes subies par la Voie, et à identifier si, comme pour la
Signalisation, certaines d’entre elles avaient un lien avec l’organisation par projet. La Voie
nous semblait toute indiquée pour cette nouvelle phase d’investigations. En effet, tout comme
la Signalisation et à la différence d’autres maîtres d’œuvre tels que la Téléphonie, la Voie est
directement en interface avec le système. En outre, comme la Signalisation, c’est aussi un
élément crucial de la sécurité ferroviaire. Ces deux métiers ont quasiment la même portée
historique : il y a toujours eu des voies, de même qu’il y a (presque) toujours eu des signaux.
Ces deux métiers sont donc des métiers anciens, où l’identité professionnelle, attachée au
domaine du ferroviaire, est très forte et encore présente (bien que le départ de nombreux
anciens puisse nous amener à nous interroger sur ces aspects). Cependant, à la différence
de la Signalisation, la Voie appartient à une autre unité que celle des équipes projet : leurs
hiérarchies sont donc indépendantes. Ensuite, la Signalisation et la Voie sont deux maîtres
d’œuvre en lien très fort, aux activités souvent interdépendantes, point intéressant du fait de
nos interrogations relatives à la capacité d’action collective et aux ajustements entre acteurs.
Ainsi, étudier la Voie nous permet d’observer non seulement les ajustements au sein d’un
même groupe professionnel (comme lors de l’étape 1), mais aussi les ajustements éventuels
entre groupes professionnels.

99
Facteurs socioculturels du REX

Méthodologie et perspectives. De la même façon que pour le maître d’œuvre Signalisation,


nous avons mené des entretiens semi-directifs avec des agents de la Voie, et suivi un chargé
d’affaires lors de travaux de nuit. En outre, un incident s’étant produit au moment où nous
menions notre investigation, nous avons pu suivre les différentes réunions le concernant,
et interroger les acteurs à ce sujet. Cet incident est intéressant à de nombreux égards, et
notamment parce qu’il fait ressortir des causes identiques à celles mises en avant dans le
cas de la Signalisation : les plannings modifiés, entraînant des changements au niveau des
phases et des travaux à réaliser pendant la nuit, une pression temporelle forte, toutes ces
contraintes largement issues de, et reportées par, les équipes amont sur ces équipes. Ces
derniers « matériaux récoltés » restent à analyser en profondeur pour pouvoir relier nos
résultats expérimentaux aux théories existantes et conceptualiser. Toutefois, nous pouvons
d’ores et déjà signaler que ce dernier terrain, la Voie, ainsi qu’un retour vers les signaux, nous
conforte dans les conclusions tirées suite à l’étape 1.

Précision de la question de recherche

Au vu de tous les éléments mis en évidence, l’objectif est ici de comprendre comment il est
possible de maîtriser les risques dans des organisations par projet. Plus précisément, il s’agit
d’appréhender comment les modes de structuration et de rationalisation du travail impactent
la capacité des acteurs à maîtriser les risques.
Parmi les problèmes identifiés, certains se détachent particulièrement :
 la division du travail entraîne un isolement de certains acteurs, mais aussi, paradoxa-
lement, leur hyper-sollicitation : l’organisation ne peut tenir sans leur mobilisation
permanente, tant individuelle que collective. Or cette mobilisation n’est pas donnée a
priori et peut être mise à mal par les fortes contraintes qui pèsent sur ces acteurs ;
 la coordination semble faire défaut dans ces univers, notamment la coordination entre
les différents maîtres d’œuvre. Il est difficile de savoir qui en a la responsabilité. Cela peut
être la cause d’incidents : l’absence de coordination, tant au niveau de la préparation des
chantiers, que pendant les chantiers eux-mêmes, conduit à une confusion générale durant
laquelle les questions : « Qui fait quoi ? Qui intervient quand ? », trouvent difficilement
de réponses ;
 ajoutées à cette coordination déficiente, les temporalités très serrées et l’absence
apparente de hiérarchisation des priorités, peuvent conduire à prendre dans l’urgence
des décisions dangereuses ou à mener des raisonnements erronés. C’est en particulier sur
les opérations dites annexes, ou classiques, que les difficultés surviennent. L’attention
étant portée sur les opérations complexes, innovantes, ces opérations semblent parfois
négligées, faute de temps.
Malgré tout, dans ce contexte sous forte pression, soumis à de nombreux aléas et où sont
réalisées de multiples interventions souvent interdépendantes, le nombre d’incidents à ce
jour reste relativement faible. Les agents parviennent donc, jusqu’à un certain point, à
maîtriser les risques et à faire tenir ensemble les différentes tâches qu’ils ont à mener. La
question que nous posons alors est, pour reprendre les mots de [Strauss 2005] : « Comment
les acteurs font-ils tenir le travail ensemble ? »

6.2 Proposition pour améliorer la gestion des interfaces organisationnelles dans


les projets
Pour contribuer à l’amélioration de la maîtrise des risques dans le cadre d’organisations par
projet, nous focalisons notre travail de recherche sur trois axes principaux :
1. développer un REX « élargi »
2. proposer un diagnostic organisationnel
3. identifier les pratiques informelles pertinentes pour la maîtrise des risques

100
6.2. Améliorer la gestion des interfaces

6.2.1 Premier objectif : développer des éléments de méthode pour élargir le REX sur les
incidents
Le premier problème identifié au cours de nos observations, est le manque de partage des REX
au-delà des frontières de l’entité concernée, notamment dans des organisations par projet. En
conséquence, les groupes extérieurs étant peu impliqués dans les REX effectués, les causes
organisationnelles des incidents sont rarement traitées.
Notre premier objectif est de développer des éléments de méthode pour permettre la réalisation
de REX élargi. Dans notre optique, élargir signifie questionner les causes organisationnelles,
sans se contenter des causes immédiates. Cela signifie également ne pas se cantonner au
collectif de travail directement touché par l’incident, tant au niveau de l’analyse qu’au niveau
de la restitution.
Nous abordons ainsi notre terrain de recherche sous un premier angle, consistant à analyser
des incidents significatifs dans lesquels les acteurs « projet » jouent un rôle, en nous attachant
à comprendre les causes profondes de ces incidents, en particulier les causes dites organisa-
tionnelles. Nous cherchons par là à adopter une démarche de type REX selon une approche
systémique (c’est-à-dire ne se contentant pas d’explications techniques) et transversale. Ces
incidents constituent des perturbations dans le déroulement des projets. Or ces perturbations
sont particulièrement intéressantes pour les analystes, car elles révèlent au grand jour les
processus d’articulation et d’interaction (telles que la négociation ou la persuasion), souvent
invisibles « lorsque tout va bien » [Strauss 1988].
Comme nous l’avons exposé, nos investigations ont débuté avec les signalisateurs, mais les
conclusions auxquelles nous avons abouti nous ont conduits à remonter bien en amont de ce
collectif de travail, jusqu’aux équipes projet. Nous limiter aux signalisateurs ne nous aurait
permis de ne percevoir que partiellement les causes de ces incidents. Il ne s’agit pas de se
contenter des causes locales, liées à un métier spécifique, mais d’étendre la recherche de causes
à tous les groupes d’acteurs, situés en amont ou en aval dans le projet, susceptibles d’influencer
d’une façon ou d’une autre le métier en question.
Néanmoins, dans les REX réalisés par les entités métiers auxquels nous avons pu avoir accès,
certaines causes organisationnelles étaient pointées. En effet, pour réaliser leur REX, les acteurs
utilisent la méthode du diagramme en « arête de poisson », comportant cinq catégories :
1. environnement ;
2. documentation ;
3. technique ;
4. humain ;
5. organisation.
Les facteurs organisationnels sont donc pris en compte dans l’analyse des incidents. On peut
trouver dans ces REX des causes organisationnelles de premier niveau :

Exemple de causes organisationnelles rapportées dans des REX

« Les essais sont basés sur la compétence des agents. »


« Les retards successifs des spécifications fonctionnelles du niveau système génèrent de multiples
phasages qui imposent des reprises successives et partielles sur des études déjà réalisées globalement,
de réalisation et d’essais dans un contexte de pression planning. »

Nous voyons apparaître ici un certain nombre de facteurs de risques, comme les compétences
des agents ou la pression temporelle. Les rapports ne donnant pas de plus amples informations,
il nous semblait important de « creuser » les éléments évoqués. À partir seulement des quelques
causes citées ci-dessus, nous nous sommes posé des questions du type :
 En quoi consistent réellement les compétences des agents ? Comment se construisent-
elles ? Comment sont-elles évaluées ?
 En quoi consistent les phasages des opérations ? Par qui ces phasages sont-ils décidés et
pourquoi sont-ils modifiés ? Quels impacts les modifications de ces phasages ont-ils sur
l’activité de travail des agents et sur la maîtrise des risques ?
 En quoi consiste cette pression planning ? Par qui ou quoi est-elle imposée et qui la subit ?
Est-elle négociée ?

101
Facteurs socioculturels du REX

 Les incidents semblent souvent se produire lors de « moments de surcharge », comment


s’expliquent-ils ?
La méthode est coûteuse en temps, mais elle apporte des éléments précieux et surtout généra-
lisables. En effet, on ne se cantonne pas à un événement isolé, même s’il constitue un point de
départ. Comme nous l’avons vu, la plupart des incidents, se produisant dans un même cadre
organisationnel, ont des causes similaires. Notre méthode permet donc de réaliser des REX
sur plusieurs événements, d’en tirer des conclusions et éventuellement des recommandations
communes. Notre méthodologie de recherche, inspirée des techniques des sciences humaines,
devrait nous permettre in fine de construire des éléments de méthode pour mener des REX dans
le cadre d’organisations par projet. Ces événements étant toutefois relativement rares (fort
heureusement), il nous paraît utile de compléter ces REX par une étude du fonctionnement
normal des organisations, en nous appuyant là encore sur les travaux évoqués précédemment.

6.2.2 Deuxième objectif : au-delà du REX, proposer un diagnostic organisationnel


Nous souhaitons aller au-delà d’analyses basées sur le récit a posteriori des événements. En
effet, comme le précise [Llory 1996], une telle démarche fournit davantage des « explications »
qu’une « compréhension » fine des événements. Il s’agit donc d’aller plus loin que le REX
organisationnel, lui-même pourtant déjà peu développé, en proposant ce que nous appelons un
diagnostic organisationnel. La première étape consiste à comprendre le fonctionnement
d’un projet. Nous devons pour cela nous focaliser sur plusieurs éléments :
 les structures organisationnelles mises en place ;
 la transmission des différentes instructions ;
 les modes formels d’échange et de contrôle mis en place (par les dispositifs de gestion9
notamment) ;
 les modes d’application des règles formelles ;
 les espaces et les temps de négociation et de discussion informelles ;
 les modes d’articulation entre modes formels et informels de fonctionnement ;
 les types d’engagement des acteurs dans leur travail, en fonction de leurs positions dans
l’organisation ;
 les contraintes et incertitudes subies par les acteurs.

Notre objectif est en effet de comprendre les moyens par lesquels les individus parviennent
à contrôler leur situation de travail et à organiser différentes tâches interdépendantes. Nous
voulons remonter aux mécanismes de coordination, de négociation mobilisés par les acteurs
dans le cadre et au moment de leur activité de travail, et pas seulement étudier les processus de
planification décidés par les acteurs ad hoc. Pour cela, il nous semble insuffisant d’étudier un
événement, souvent négatif, isolé dans le temps et l’espace. Cela nécessite en revanche de se
pencher sur le fonctionnement normal, voire routinier, pour découvrir des vulnérabilités
cachées au sein même des organisations. En effet, l’analyse d’aléas, de surcroît souvent
ponctuels, ne permet pas à elle seule de mettre à jour ces vulnérabilités. Il s’agit d’entrer au
cœur de l’activité de travail des acteurs étudiés, parce que c’est bien au cœur de l’activité,
non pas en surface, que se glissent les facteurs de risques. Nous avons donc jugé nécessaire
d’adopter une approche contingente, centrée sur les situations de travail, dans un contexte
donné, tant routinières (si tant est qu’il y en ait dans les projets) que dégradées ou perturbées.
Comme le précise J.M. Jacques et M. Latiers,

‘‘ Les observations permettent d’aller au-delà des retours d’expérience classiques menés après les
[événements], principalement focalisés sur l’application stricte des plans et procédures, et où les
déviations par rapport au prescrit sont la plupart du temps jugées négativement ou camouflées par
les participants.

Il nous a été possible d’approcher deux types de situation, par le biais de l’observation (partici-
pante ou non) :

9
Les dispositifs de gestion sont des outils, méthodes permettant d’organiser, de contrôler les activités (par le
biais d’indicateurs par exemple). Ils peuvent être des bases de données, les documents formalisés d’échange
d’informations, la double vérification (qui fait l’objet d’une instruction de sécurité ferroviaire), ou encore le guide
de management de projet dans lequel sont définis formellement les rôles, missions et ressources de chacun.

102
6.3. Du lien entre organisations par projet et maîtrise des risques

 les nuits de travaux et essais, avec la signalisation et avec la voie ;


 les réunions suite à incident visant à en analyser les causes.

Ces deux types de situations se caractérisent tout d’abord par leurs temporalités : elles sont
situées dans le temps, ont un début et une fin déterminée. Par ailleurs, elles font intervenir
différents types d’acteurs, aux logiques et intérêts différents, qui vont être amenés à échanger,
à négocier, à se disputer… Ces observations nous permettent d’accéder à une foule d’infor-
mations difficiles à obtenir par le biais d’entretiens, et à une vision des phénomènes à la fois
dynamique et située. Nos travaux ont ainsi permis de mettre en évidence, par exemple, que les
négociations entre équipes projet et maîtres d’œuvre étaient difficiles : étant très instrumen-
tées, et portant principalement sur les aspects techniques, planning ou coûts, elles mettent de
côté des questions plus organisationnelles, professionnelles, voire identitaires.

6.2.3 Troisième objectif : mettre à jour les mécanismes informels de maîtrise des risques
dans les projets
À partir du diagnostic organisationnel réalisé et des connaissances acquises sur le fonctionne-
ment des organisations par projet, notre troisième apport consiste à généraliser nos résultats
sur les mécanismes de maîtrise des risques dans les organisations par projet. L’objectif est en
particulier de mettre à jour les mécanismes informels, invisibles permettant de maîtriser les
risques. La prescription, bien qu’utile, est souvent insuffisante, et peut même créer de nou-
velles failles. Ainsi, nous porterons notre attention sur la façon dont les acteurs, notamment
par le biais d’« ententes », d’« ajustements », parviennent à compenser les failles du système.
Ce troisième apport consisterait davantage en un retour d’expérience positif ; une fois
ces pratiques informelles mises à jour, nous nous attacherons à comprendre comment elles
peuvent être favorisées.

6.3 Du lien entre organisations par projet et maîtrise des risques


Dans cette troisième partie, nous cherchons à mettre en lumière notre contribution théorique.
Au vu des résultats empiriques décrits dans les deux premières parties, deux cadres théoriques
principaux sont mobilisés :
 la théorie organisationnelle de la sécurité, qu’elle adopte comme angle d’approche l’ana-
lyse d’accidents ou le fonctionnement normal des organisations ;
 les travaux relatifs aux organisations par projet, plus particulièrement axés sur les méca-
nismes de coordination dans ces organisations.
Nous puiserons dans la littérature pour mettre en lien ces différents travaux et tenter de
montrer comment les modes de structuration et de rationalisation du travail à l’œuvre dans
ces organisations, peuvent influer sur les mécanismes de maîtrise des risques. Concernant
la gestion de projets, outre les écrits sur le management de projet lui-même, il nous semble
intéressant de regarder également du côté des travaux sur les organisations flexibles en général
et sur les modes de coordination dans ces organisations.

6.3.1 La théorie organisationnelle de la sécurité


L’analyse approfondie (en particulier par des chercheurs en sciences sociales comme Tur-
ner, Perrow, Reason…) de plusieurs accidents industriels, tels que Three Mile Island, Bhopal,
Tchernobyl ou encore Challenger, a permis de faire émerger le concept d’accident organi-
sationnel, également dénommé accident systémique. Les approches organisationnelles,
relayées notamment par les sociologues, sont venues enrichir les questionnements relatifs au
risque et à la sécurité, jusque là plutôt réservés aux ergonomes ou ingénieurs de sûreté de
fonctionnement. Dans la littérature, on trouve différentes traditions pour aborder la question
de la sécurité dans les organisations à hauts risques (nucléaire, aéronautique, ferroviaire, ou
encore hôpitaux) :
L’identification de facteurs de risque (ou de fiabilité) structurels. La technologie, tendant
à se complexifier avec l’informatique, est vue comme un facteur de risque, tant pour les
chercheurs du groupe des High Reliability Organisations (HRO)10 , que pour les partisans de la

10
En Français, Organisations à Haute Fiabilité. Groupe de chercheurs né à l’Université de Berkeley en 1985 autour
du professeur Karlene Roberts.

103
Facteurs socioculturels du REX

théorie du « normal accident » [Perrow 1984]. Perrow dégage deux facteurs pouvant expliquer
la survenue « normale » d’accidents, liés à ces nouvelles technologies : la complexité et le
couplage « fort ». Les systèmes socio-techniques complexes et fortement couplés connaissent
des « interactions de séquences anormales ». Il est difficile de les prévenir car elles ne sont ni
planifiées, ni attendues, ni visibles ou compréhensibles immédiatement.
Un autre facteur structurel mis en évidence est la redondance, qu’elle soit technique, fonction-
nelle, ou organisationnelle (c’est le cas de la double vérification comme mode de contrôle, que
nous avons pu observer sur notre terrain de recherche). Elle peut être vue comme facteur de
fiabilité et d’efficacité (chercheurs du HRO) ou comme une source de fragilisation du système
(Perrow), car elle contribue à le complexifier encore davantage.
Des travaux mobilisant la sociologie des organisations ou du travail. Les risques de la
rationalisation du travail ont été principalement traités par les sociologues du travail comme
[de Terssac 2001] :

‘‘ Par risque, on entend les dommages potentiels ou effectifs, évités ou subis par les organisations
productives, du fait d’une structuration interne des activités professionnelles contre-performante.

L’auteur catégorise différents types de risques issus de la rationalisation du travail, en mettant


en évidence les conséquences possibles de la structuration des activités sur la productivité des
travailleurs (et leur capacité à maîtriser les risques).
En premier lieu, une division du travail excessive peut conduire, par une parcellisation des
tâches, à un sentiment de déresponsabilisation (ou d’isolement), à une perte de sens du travail,
ou encore à des ruptures cognitives ou sociales entre différents individus ou groupes de travail.
On rejoint ici nos préoccupations, relatives à la maîtrise des risques dans des organisations par
projet (qualifiées d’« hybrides »), à savoir comment assurer l’existence d’une vision commune
et partagée des enjeux.
Un autre risque mis en avant par l’auteur est celui de « la désintégration sociale ». Ce qui se
joue ici, c’est la capacité des acteurs à coopérer et à maintenir de la cohésion et du lien social
au sein d’une même communauté professionnelle, sans lesquels les objectifs et les contraintes
subies dans le travail ne sont plus négociés.
Un dernier facteur interroge le lien entre formel et informel. Certains dangers de la formali-
sation ont ainsi été dénoncés : bien qu’elle contribue jusqu’à un certain point à clarifier et
ordonner les activités, elle peut également rigidifier l’organisation et la priver des capacités
d’initiatives dont elle a besoin, notamment face aux incertitudes.
Des travaux dans la lignée du courant interactionniste, tels que ceux de Strauss ou
de Journé. [Journé 2001] s’est intéressé aux pratiques de gestion des risques dans les centrales
nucléaires, qui appartiennent à la catégorie des « technologies à haut risque ». Il s’est plus
particulièrement penché sur la manière dont les différents risques sont pris en compte et
influencent les décisions. Son approche ne se limite pas seulement à l’étude de situations
accidentelles. Elle porte plus généralement sur les organisations caractérisées par l’ambiguïté,
l’imprévu, l’incertitude [Journé et Raulet-Croset 2004].
Ces auteurs placent au cœur de leurs analyses le concept de « situation » (issu de la sociologie
interactionniste), « qui s’avère très éclairant pour comprendre l’émergence d’actions collec-
tives organisées dans des contextes de forte incertitude et ambiguïté » [Journé et Raulet-Croset
2004]. Ils identifient trois dimensions de la situation, trois niveaux d’interactions :

 la dimension « sociale », celle des interactions entre acteurs ;


 la dimension « écologique », portant sur « l’environnement physique immédiat des ac-
teurs » ;
 la dimension « institutionnelle » incluant les macro-structures, visibles ou invisibles,
pesant sur la définition de la situation.
À partir de l’étude de deux cas, ils montrent comment les acteurs parviennent à contrôler
des situations perçues comme porteuses de risques, en construisant en commun et au terme
d’un processus d’enquête, un sens à ces situations. Ils mettent l’accent sur l’importance de la
structure temporelle, « le temps est à la fois une ressource et une contrainte » : des phases
de relâchement et de contraction du temps s’alternent, permettent simultanément de « se
donner le temps de la réflexion et de convoquer d’autres acteurs » ou de créer « un sentiment
d’urgence propice à la formulation d’un diagnostic ou à une prise de décision ». Par ailleurs,

104
6.3. Du lien entre organisations par projet et maîtrise des risques

la situation peut être plus ou moins fortement structurée : elle peut s’appuyer sur des routines
ou des histoires communes (au quel cas les acteurs auront tendance à se tourner vers des
solutions routinières), les ressources à disposition des acteurs peuvent être plus ou moins
délimitées par un cadre organisationnel prédéfini. Tous ces éléments influent sur le sens donné
à une situation, et sur les mécanismes qui seront mis en œuvre pour maîtriser les risques.
Ces travaux sont intéressants, tant sur le plan analytique, que sur le plan des possibilités
d’amélioration managériale qu’ils offrent.
[Strauss 1985] aborde également la question de la sécurité selon une approche interactionniste.
Ses travaux de recherche portent principalement sur le milieu hospitalier. Il décompose le
travail consistant à soigner un patient en différentes catégories qui doivent s’articuler entre
elles pour assurer la sécurité, ce qui constitue un travail en soi. « Le travail d’articulation pour
assurer la sécurité peut être conceptualisé comme un effort pour rationaliser le travail en vue
de porter au maximum la sécurité clinique », le but étant de standardiser le travail et de le
rendre le plus routinier possible (donc de diminuer les aléas). Strauss nous explique que cette
rationalisation conduit à un paradoxe :

‘‘ Les tentatives pour contrôler les aléas principaux sont si importantes que l’équipe obtient une
excellente coordination du travail de sécurité, mais, dans le même temps, quelqu’un qui entre à
l’hôpital pour subir une chirurgie de routine verra certaines tâches de sécurité négligées.

Cet élément nous semble particulièrement important. Il fait écho à ce que nous avons pu
observer sur le terrain, à savoir le fait que les incidents sont surtout liés à des activités
« classiques » ou « bien rodées ».

6.3.2 Caractéristiques des organisations par projet décrites dans la littérature


La perspective que nous adoptons est de considérer les risques endogènes à l’organisation,
donc la fiabilité comme en partie déterminée par les situations de travail. Selon [de Terssac
2001] :

‘‘ On oublie trop souvent que les pratiques déviantes ou les conflits entre collectifs peuvent être aussi
le signal d’erreurs systémiques : celles dont l’origine ou la responsabilité incombent à la manière
dont le système a été conçu.

C’est pourquoi il nous paraît intéressant de caractériser les organisations par projet, tant dans
la dimension structurelle, qu’interactionnelle. Pour cela, nous proposons, dans la lignée des
théories développées principalement par [Strauss 1985, 1988], de partir du travail lui-même, de
ce que les acteurs font et de comment ils le font.
Tous les projets possèdent deux caractéristiques communes essentielles :
 ils sont temporaires : tous ont en effet un début et une fin, une date butée à laquelle il est
prévu qu’ils soient achevés ;
 chacun est unique : le résultat final dépend de ce qui a été entrepris, et du contexte dans
lequel le projet se déroule.
Une structuration des projets sur fond de division du travail. Le processus de gestion
de projets est défini dans « ses étapes, son contenu, ses acteurs, mais aussi dans les formes
de coordination de leurs activités » [de Terssac et Friedberg 1996]. Le management va ainsi
s’efforcer de mettre en place une structure formelle visant à garantir le bon déroulement d’un
projet dans son ensemble. Le projet va être segmenté en différentes étapes, qui seront toutes
contrôlées de manière à prévenir le risque d’erreurs. [Midler 1993] met en évidence le fait que
les modes de structuration dans ces activités de conception et de réalisation sont toujours liés
à la fragmentation des processus, à la différenciation et à la spécialisation des acteurs. Sur
notre terrain, on retrouve bien une division du travail très marquée : le projet est réparti entre
groupes d’acteurs de différents métiers et différentes fonctions. Par ailleurs, il est découpé
en sous-projets (chargés de la réalisation des modifications pour chacune des installations
techniques), ayant chacun leurs propres temporalités. Cette division du travail conduit, comme
nous l’avons expliqué dans la première partie, au cloisonnement et à l’isolement de certains
acteurs. Cela pose question quant à la capacité d’action collective et de négociation dans ces
organisations.
La rationalisation vise aussi à fournir un cadre ou une structure temporelle à l’action, basée
sur l’établissement de plans. « Centré sur la question de la réduction des temps nécessaires

105
Facteurs socioculturels du REX

à l’obtention d’un résultat souhaité, le gestionnaire se tourne souvent vers les indicateurs
de performance comme la productivité, les délais. […] » [Journé et Raulet-Croset 2004]. Dans
les projets, la planification tient donc une place très importante : les aspects coûts et délais
constituent des contraintes cruciales, au cœur des préoccupations des managers et des équipes
projet, reportées en grande partie sur les différents corps de métiers.
Une structuration a priori difficile ou persistent de nombreuses incertitudes. En
dépit de cette structuration et de cette rationalisation du travail importante, les incertitudes,
présentes dès le démarrage d’un projet, ne disparaissent pas par la suite, bien au contraire.
S’il y a toujours à l’origine d’un projet « un prescripteur » initial qui peut être un « client »,
un « producteur », un dirigeant d’entreprise, un designer, un directeur de projet, pour autant,
comme le précisent [de Terssac et Friedberg 1996], « cet initiateur ne prescrit pas le chemin à
suivre ». Le problème de départ est large et peu circonscrit. Il y a beaucoup de degrés de liberté
au début qui diminuent au fur et à mesure que le projet avance et que l’irréversibilité se met
en place. Ainsi, au cours de l’avancement du projet, la connaissance sur le projet augmente,
mais les possibilités de choix diminuent : au début du projet, la situation est celle où « on peut
tout faire, mais on ne sait rien » et la fin « où l’on sait tout, mais où l’on a épuisé toutes ses
possibilités d’action » [Midler 1993]. Tout au long du projet, les acteurs ont à gérer, à différents
niveaux de l’organisation, une multitude de contingences, prévues ou non, qui sont autant de
perturbations dans le déroulement du projet, et donc autant de contraintes pour les acteurs.
Ainsi, comme le précisent [Aggeri et Segrestin 2002] :

‘‘ Le processus de conception s’accompagne d’une gestion permanente de problèmes, sous-tendue par


trois questions centrales :
Comment les identifier et les résoudre de manière précoce ?
Comment éviter le risque d’engorgement ?
En fonction de quels critères doit-on établir des priorités parmi les modifications ?

Ces auteurs proposent une typologie de la façon dont les modifications intervenant en cours
de projets sont gérées, sur la base de trois critères :
1. la date de détection du problème ;
2. la durée de latence (durée séparant le diagnostic du moment où l’on commence à traiter
le problème) ;
3. la durée de résolution.
Le premier cas est idéal : le problème est détecté précocement et sa résolution est simple et
rapide. Dans le second cas, la résolution du problème est simple mais demande un temps
très long. Le troisième cas est celui où le diagnostic est simple, mais où la résolution requiert
des opérations de traitement très complexes. Enfin, le dernier cas est celui où le problème
est identifié tardivement, sa résolution étant de plus très complexe et pouvant entraîner des
modifications sur d’autres parties du projet : le projet est alors mis en péril, tant au niveau
des délais que des solutions techniques préalablement envisagées.
Or, « plus l’identification des dysfonctionnements est tardive, plus leur coût est élevé » [Aggeri
et Segrestin 2002], car plus le projet est avancé, plus il est difficile de remettre en cause les
décisions prises en amont. Lorsque des cas défavorables comme celui décrit précédemment se
produisent, les différents travaux montrent que, pour éviter de négocier ou d’entrer en conflit,
les différents groupes d’acteurs vont, comme nous l’avons également observé sur le terrain,
tendre à repousser la prise de décisions :

Témoignage d’un chargé d’affaires

« J’attends des décisions de mon responsable d’entité direct, déjà. Mais lui, il dit que ce n’est pas lui,
que c’est le responsable d’unité. Le responsable d’unité dit que c’est le responsable de département
et puis… finalement… personne ne prend de décisions. »

Le problème reste alors en suspens, jusqu’au moment où il n’est plus possible d’attendre et
qu’il faut trancher. Or la question : « Qui tranche ? » dans ces organisations est problématique :
les chefs d’entité technique se retrouvent souvent dans une position difficile, entre le pouvoir
plus ou moins officieux des chefs de projet, et leurs équipes qui les sollicitent dans la définition
des priorités.

106
6.3. Du lien entre organisations par projet et maîtrise des risques

Ces différents aléas interviennent en outre dans un contexte de pression temporelle forte. Ils
provoquent des ruptures de rythme : des périodes relativement calmes, pendant lesquelles
les phases se déroulent sans heurts, alternent avec des périodes où le rythme de l’activité
s’accélère subitement, les acteurs devant agir dans l’urgence. L’urgence conduira ainsi souvent
les acteurs à recourir faute de temps aux solutions classiques, sans que leur pertinence dans
la situation singulière ait été vérifiée.
Cette littérature présente néanmoins des limites : la plupart des travaux évoqués (Aggeri
et Segrestin, Weil et Moisdon, Midler) concernent l’automobile. Les appliquer au domaine
ferroviaire demande une réflexion particulière. Par ailleurs, ils s’intéressent à des organisations
par projet prenant généralement la forme de « plateaux projet ». Or, les organisations projet
que nous étudions ne sont pas des « plateaux projet » au sens strict. Il convient d’adapter
ces travaux pour prendre également en compte les phases de réalisation, et les problèmes
spécifiques aux liens conception-réalisation et projet-réalisation.

6.3.3 La prise en compte des risques dans les organisations par projet
Les résultats empiriques (relatifs aux trois étapes décrites dans la première partie) ainsi que
théoriques mettent en évidence le caractère problématique, voire lacunaire, de la coordination
dans les organisations par projet, tant éphémère (lors de la survenue d’un accident) que
permanente (pendant toute la durée du projet). Il ressort de la littérature sur les organisations
par projet qu’on ne résout plus les problèmes seul, qu’on n’agit plus seul, qu’on n’apprend
plus seul. Les outils issus de la rationalisation du travail (plans, schémas) ne suffisent pas à
articuler et « faire tenir ensemble » les différentes tâches à réaliser, surtout dans un contexte
de temporalités très serrées. Par ailleurs, les projets sont découpés en sous-projets, avec
leurs propres temporalités : cela peut compliquer le processus d’articulation dans les projets,
ces sous-projets devant être articulés entre eux et avec le projet global. Il nous paraît donc
pertinent de nous pencher sur la façon dont les acteurs se coordonnent dans ces univers
et dont ils comblent les failles issues de la rationalisation du travail. Pour ce faire, il nous
semble particulièrement intéressant dans le cadre de notre recherche de mobiliser le concept
de « travail d’articulation » mis en avant par Anselm Strauss, travail supplémentaire consistant
à coordonner les différentes tâches éparses. Ce concept offre en effet des clés explicatives
très intéressantes pour la maîtrise des risques dans le cadre de projet. Les tâches, imbriquées
et séquentielles dans un projet, « appellent une coordination, car elles ne s’organisent pas
automatiquement d’elles-mêmes, en séquences d’action et de temps appropriées » [Strauss
1985]. Ce concept s’applique particulièrement aux organisations relativement instables, en
mouvement, comme les organisations par projet car il présente l’avantage d’offrir une vision
dynamique des processus de coordination. Le travail d’articulation n’est en effet pas donné
une fois pour toutes : il est sans cesse remis en question, menacé plus ou moins fortement,
bref, désarticulé par les contingences du projet. Il est par ailleurs difficile à mettre en œuvre
car il est souvent distribué, délégué et tacite, chacun ayant sa propre vision ou estimation de
ce qu’il convient d’articuler, quand et avec qui.
Le travail d’articulation apparaît comme un « méta-travail », présent dans toutes les sphères du
travail, et à toutes les phases d’un projet. À la question « Qui est responsable du travail d’arti-
culation ? », Strauss répond : « Tout le monde ». Il nuance toutefois son propos en distinguant
le travail d’articulation explicite et implicite. Si certains acteurs sont affectés formellement à
coordonner des aspects particuliers du déroulement d’un projet, ils sont loin d’être les seuls
à jouer ce rôle de coordinateur. Tous s’emploient donc, avec plus ou moins de discrétion, à
articuler le travail, à « faire tenir ensemble » les différents aspects du travail. Pour ce faire, ils
négocient, font montre de persuasion, réalisent des arrangements, des « ententes » plus ou
moins tacites. Strauss montre comment, à l’hôpital, médecins, infirmières, aides-soignantes,
mais aussi patients, peuvent être sources de désarticulation et négocient alors en permanence
pour « réarticuler » les tâches les unes avec les autres, en prenant en compte éventuellement
de nouvelles tâches ayant émergé.
Ce travail d’articulation présente notamment une caractéristique principale (Schmidt & Ban-
non, 1992, cité dans [Jacques et Latiers 2007]) :

‘‘ Il est invisible dans les modes de rationalisation formelle du travail, comme la planification. S’inté-
resser au travail d’articulation permet donc d’explorer les aspects informels et tacites du travail.

On voit donc la richesse de ce concept, en particulier lorsqu’il est appliqué aux organisations
par projet. Il permet non seulement de voir comment les tâches sont coordonnées, mais aussi

107
Facteurs socioculturels du REX

sur quels mécanismes se basent les acteurs pour hiérarchiser les priorités, résoudre les conflits
de temporalité, et finalement construire un « ordre négocié » [Strauss 1988] dans un univers
instable et relativement chaotique.

6.4 Conclusion : premiers résultats et perspectives


En guise de conclusion, nous souhaitons tout d’abord revenir sur et développer certains
résultats et perspectives, et amorcer une conceptualisation.
Pour mener à bien notre recherche, nous sommes partis de la réalisation de REX sur des
situations de travail. En nous appuyant sur nos connaissances théoriques, notamment en
sociologie, nous avons cherché à aller plus loin dans la technique de REX, en proposant
aux industriels un véritable diagnostic organisationnel. Ceci a permis d’une part certaines
évolutions dans ces organisations, d’autre part, un enrichissement des théories existantes, sur
le REX mais aussi sur la maîtrise des risques dans ces organisations par projet.
Premièrement, il ressort de nos investigations de terrain que le recouvrement des compé-
tences entre acteurs contribue largement à la maîtrise des risques. Ce recouvrement peut
compagnonnage prendre différentes formes, plus ou moins formelles. Le compagnonnage est ainsi une mé-
thode formelle de recouvrement des compétences : le nouvel arrivant, pendant sa période de
formation, est suivi par un ancien, à qui il peut (et doit) s’adresser en cas de doutes. Un autre
facteur explique ce recouvrement, particulièrement vrai chez les anciens : les agents au cours
de leur carrière passent d’un poste à l’autre au sein d’une même spécialité technique (par
exemple de la conception à la réalisation, ou encore à la vérification). Ainsi, chacun connaît
en partie le métier de l’autre, ce qui facilite grandement les négociations entre les acteurs à
toutes les étapes du projet, y compris lors de la survenue de contingences non prévues. Ceci
permet également d’injecter plus de souplesse dans la gestion des aléas, et de minimiser, par
le biais d’arrangements ponctuels, les contraintes qui y sont liées. Toutefois, ceci n’est plus
vrai lorsque l’on considère les interactions entre signalisateurs et équipes projet : leurs compé-
tences sont très différentes et très spécifiques : on remarque à l’inverse que les arrangements
et ajustements entre ces groupes d’acteurs sont très problématiques. Les signalisateurs, situés
tout à fait en aval du processus, subissent ainsi de plein fouet les contraintes émanant des
équipes projet, sans pouvoir les négocier.
Deuxièmement, les maîtres d’œuvre finissent par s’épuiser à gérer les contraintes au quotidien
et à effectuer ce travail d’articulation, de manière en plus relativement informelle et implicite.
On peut alors observer chez ces acteurs le développement d’un sentiment de lassitude [Alter
2000]. Cela entraîne des effets pervers pour le fonctionnement du projet, mais aussi plus
particulièrement pour la maîtrise des risques ou le « travail de sécurité ».
Comme nous l’avons précisé, l’analyse des données récoltées n’est pas terminée : les conclu-
sions, ainsi que la problématique, peuvent encore évoluer, ou tout au moins être enrichies. Nous
pensons toutefois que le concept d’articulation nous aidera à mieux comprendre comment
les différentes tâches d’un projet sont coordonnées et négociées, et comment les différentes
contingences sont prises en compte dans le déroulement d’un projet.
Un point nous paraît en conclusion important à souligner, d’autant qu’il est tout à fait dans
la philosophie de la FonCSI : une contribution théorique a d’autant plus de valeur qu’elle est
ancrée expérimentalement, et qu’elle peut contribuer à aider les industriels dans leur démarche
d’amélioration permanente. Par là, nous voulons signifier que le but d’une recherche n’est
pas simplement de venir compléter ou enrichir des théories, de mettre en avant de nouveaux
concepts, mais aussi d’apporter une contribution pratique et concrète aux industriels qui, en
nous laissant accéder à leurs terrains, nous aident à mener notre recherche. C’est donc bien
une dynamique de construction, de développement et d’enrichissement mutuels qu’il faut
tendre à mettre en place. Ceci implique de passer du temps avec les acteurs, ce qui n’est pas
toujours facile, pour instaurer un climat de confiance. C’est une approche sur le long terme, qui
conduit à amasser une quantité d’informations, qu’il faut par la suite décrypter, trier, organiser,
dans le but de faire ressortir des concepts et surtout de les mettre en relation.

108
7
Sécurité industrielle et sous-traitance dans
l’aéronautique : comment renforcer le
REX ?

Doctorant Colin Lalouette


Directeurs de thèse Bernard Pavard (IC3-IRIT)
Jean-Marie Jacques (ReCCCoM1 –Université de Namur)
Jean-Luc Wybo (Centre de recherche sur les Risques et les Crises-
Mines-ParisTech)
Terrain industriel Airbus

La concurrence dans les organisations en général, et dans le secteur aéronautique en particulier,


est telle qu’il est constamment nécessaire de réduire la longueur des cycles de développement
des produits. Par exemple, Airbus vise à la réduction du temps de développement des avions
par le biais de différents projets internes et par une politique d’appel à la sous-traitance de
plus en plus fréquente. Cette réduction du temps du cycle permet de proposer un portefeuille
de produits optimisé, au maximum en adéquation avec les besoins des clients, et, permet ainsi
à l’entreprise d’être toujours plus compétitive sur le marché [Alcouffe et Corrégé 2004].
La concurrence, associée à d’autres facteurs tels que la fluctuation dans les ventes d’avion,
contraint les constructeurs aéronautiques à se concentrer sur les projets, produits et processus
issus de leurs cœurs de métier [Accart 2003]. C’est dans ces cœurs de métier que se trouvent les
plus hautes valeurs ajoutées des constructeurs [Prahalad et Hamel 1990]. L’appel de plus en plus
fréquent à la sous-traitance trouve aussi son origine dans ce recentrage sur les compétences
et capacités clés de l’entreprise.
On ne peut donc plus considérer l’entreprise comme une entité individuelle isolée ; en mul-
tipliant les interfaces et les interactions avec différents types de sous-traitants, elle devient
un système multi-organisationnel complexe. Cette nouvelle configuration a bien évidemment
des conséquences quant à la maîtrise des risques et la gestion de la sécurité. Or, malgré sa
complexité, l’industrie aéronautique est un secteur parmi les plus performants en terme de
fiabilité technique et organisationnelle [Amalberti 1996].

Nous nous proposons d’étudier les modalités du management de cette fiabilité face à
l’extension de l’entreprise et à l’organisation de la sous-traitance. Notre étude porte sur les
conditions d’une bonne gestion des connaissances entre donneur d’ordres et sous-traitant,
et notamment sur la consolidation du retour d’expérience inter-organisationnel pour
augmenter la fiabilité organisationnelle. Nous nous focaliserons en particulier sur les
mécanismes informels de retours d’expérience qui semblent être porteurs de progrès
dans l’acquisition de cette fiabilité.

1
Research Center for Crisis and Conflict Management.

109
Facteurs socioculturels du REX

Ce chapitre est structuré en quatre parties. Dans un premier temps, nous exposons le contexte
de la sous-traitance dans l’aéronautique et plus particulièrement chez Airbus, notre terrain
industriel, ainsi que ses conséquences sur la gestion des connaissances liées à la sécurité.
Nous axons la seconde partie sur des aspects plus spécifiques inhérents à cette redéfinition
des contours, présentons notre angle d’étude et les apports attendus de notre recherche. La
troisième partie consiste en un état des lieux de différents axes théoriques qui nous permettront
de fixer le cadre de nos travaux pour enfin établir nos hypothèses de recherche. La dernière
partie présente une synthèse de nos travaux et précise les perspectives de notre recherche.

7.1 La sous-traitance dans l’aéronautique et ses conséquences sur la gestion des


connaissances
Il convient dans un premier temps de préciser les caractéristiques de la sous-traitance dans
l’aéronautique en général et chez Airbus en particulier afin d’avoir une vision claire sur com-
ment l’entreprise se reconfigure en présence de l’intensification de l’appel à la sous-traitance
(en terme de gestion des connaissances et notamment de REX pour la maîtrise des risques).

7.1.1 L’entreprise étendue


La sous-traitance se décline sous diverses formes en fonction du degré de collaboration avec
le donneur d’ordres [Alcouffe et Corrégé 2004]. D’une manière synthétique, il est nécessaire de
préciser au préalable que, dans la conception aéronautique, deux mondes coexistent :
 d’une part le monde des « Systèmes », qui répond aux différentes fonctionnalités de l’avion
et qui comprend les « Équipements » (systèmes embarqués, dispositifs mécaniques et
hydrauliques, etc.) ainsi que les « Composants » nécessaires pour relier ces équipements
(câblages électriques, tuyauteries, etc.) ;
 d’autre part le monde de l’« Aérostructure » qui lui comprend l’ensemble des éléments
constituant l’« ossature » externe et interne de l’avion (ailes, fuselage, etc.).
On peut résumer les diverses formes de sous-traitance en conception et en production, en les
présentant selon un ordre croissant de collaboration et de délégation de pouvoir (cf. Figure 7.1) :
 build to print suppliers : fabricants d’éléments aérostructuraux déjà dimensionnés ;
 jigs & tools suppliers : fabricants d’outillages pour une production assurée par Airbus en
interne ;
 authorized engineering services suppliers / engineering services suppliers : sociétés de ser-
vices en ingénierie pour la conception de systèmes ou de parties de l’aérostructure (avec
ou sans délégation d’autorité de conception) ;
 equipment & systems suppliers : entreprises assurant la conception et la production de
systèmes et d’équipements ;
 risk sharing partners : sous-traitants globaux assurant la conception et la production d’élé-
ments constitutifs aérostructuraux de l’avion (avec parfois des systèmes déjà intégrés).
Le niveau de collaboration le plus avancé est donc la sous-traitance globale, connue sous
l’appellation anglo-saxonne risk sharing partner [Prax 2003]. Dans cette forme de sous-traitance,
les partenaires assument ensemble les coûts de développement d’éléments constitutifs d’avions.
En contrepartie, ce type de sous-traitant produit lui-même ces éléments, ce qui lui assure de
pouvoir les vendre et d’être rémunéré pendant toute la durée de vie de l’avion (soit plusieurs
dizaines d’années) : les sous-traitants globaux s’inscrivent donc dans une logique de retour sur
investissement et non pas dans celle d’une prestation classique. Ils possèdent par ailleurs une
délégation d’autorité de conception, ce qui signifie que ce sont eux qui conçoivent l’avion à
partir de données fournies par Airbus. C’est pour cette raison que le terme de « partenariat »
est plus approprié pour décrire leurs interactions avec le donneur d’ordres.
Pour le constructeur aéronautique qu’est Airbus, la sous-traitance globale conçoit — mais
aussi produit — une partie non négligeable des éléments constitutifs de l’avion. Le modèle
d’Airbus tend donc à se rapprocher de plus en plus de celui de ses pairs industriels du secteur
automobile2 qui portent désormais l’appellation d’« intégrateurs ».

2
L’activité principale de ce secteur ne se limite plus à construire des éléments mécaniques ou de carrosserie, mais
consiste bien à les intégrer en un ensemble qu’est une voiture.

110
7.1. La sous-traitance dans l’aéronautique

Pertinence de la connaissance
pour la mémoire d’Airbus Catégories
Conception et production
OUI

ELEVEE Risk Sharing Partner (RSP)


Dossier de
définition
Composant
de l’avion Production Conception

NON
MOYENNE Equipment & Systems (EQS)

MODEREE Jigs & Tools (J&T)

MOYENNE Authorized Engineering Service (AES) Autorisation

MOYENNE Engineering Service (ES)

MODEREE Build to Print (B2P)

Fig. 7.1 – Modèle de représentation de la sous-traitance en fonction de la pertinence du savoir

Bien qu’ils soient parfois manufacturés à l’extérieur des sites d’Airbus par les sous-traitants
globaux, les éléments constitutifs de l’avion sont souvent issus d’une co-conception lors
d’une phase de conception commune en plateau. Ces bouleversements nous montrent
bien que les modèles industriels s’orientent de plus en plus vers une entreprise fondée sur la
connaissance [Hejduk 2005 ; Nielsen 2002 ; Renou 2004] puisqu’ils recherchent et utilisent les
expériences et compétences de plusieurs entreprises de manière simultanée.
Les alliances d’entreprises basées sur la connaissance [Nielsen 2002 ; Reid 2000] partagent une
vision stratégique plus large que celle que l’on trouve dans le modèle en réseau classique
dénommé par « chaîne logistique » ou « supply chain » [Capraro et Baglin 2002]. Ce nouveau
type d’organisation, fonctionnant en majeure partie grâce à un mode concourant (soit qui
concourt à un même but, qui converge dans une même direction) et collaboratif [Boughzala
et al. 2001], est désigné comme étant une « entreprise étendue » [Davis et Spekman 2003] ;
ce concept est actuellement au cœur de nombreuses problématiques de recherche [Kim et al.
2004].
Alors que ce modèle d’entreprise étendue est relativement nouveau, certaines entreprises
ont amorcé l’application des pratiques qui lui sont associées dès le début des années 1970.
Par exemple, Airbus peut-être qualifié d’entreprise étendue puisque, depuis sa création, ce
consortium européen a été le fruit de l’alliance économique de quatre grandes compagnies
aérospatiales européennes (Aérospatiale, British Aerospace, CASA et Daimler Aerospace) qui entreprise étendue
ont unifié leur destin pour créer une entité commune et collaborative. Les consortia de ce genre
que sont les entreprises étendues, sont basés sur un modèle de confiance où tous les membres
gagnent si le groupe gagne. L’entreprise étendue symbolise une approche révolutionnaire
du comportement compétitif et de la manière dont les entreprises conçoivent leurs relations
d’échanges [Davis et Spekman 2003].
Ces entreprises se positionnent donc dans une nouvelle ère économique, avec de nouveaux
enjeux, de nouveaux défis et de nouvelles contraintes. Ces contraintes sont d’ordres scientifique,
technique, organisationnel, mais aussi social, psycho-cognitif voire même philosophique. Les
entreprises trouvent généralement les véritables clés pour dépasser ces contraintes au sein de
deux disciplines : la gestion des connaissances ou knowledge management en anglais [Balmisse
2002] et la gestion du capital humain [Bontis 2000 ; Qureshi et al. 2006]. Dans cette mondialisation
complexifiant les marchés et les flux, les défis sont corrélés à l’excellence à répondre pleinement
aux nouveaux objectifs économiques ciblant leurs priorités sur les cœurs de métier [Hamel
et Prahalad 1994 ; Prahalad et Hamel 1990 ; Prax 2000, 2003]. Les enjeux sont liés aux moyens à
mettre en œuvre, puis à développer, pour gérer au mieux les connaissances dans l’entreprise
étendue [Sellini et al. 2006] afin de conserver, puis d’améliorer, les performances économiques
et la sécurité face à un environnement mondialisé.

111
Facteurs socioculturels du REX

7.1.2 La gestion des connaissances et le REX dans l’entreprise étendue


Parmi les enjeux consécutifs à cette nouvelle donne, se trouve celui de la gestion des risques.
Le concept d’entreprise étendue induit un repositionnement du système de gestion des connais-
sances pour le management de la sécurité. La gestion des connaissances est contingente et
varie donc selon le secteur d’activité, la taille des entreprises et selon que l’on prend la vi-
sion des Ressources Humaines, de la Direction des Systèmes d’Information ou encore d’un
service spécifiquement dédié à cette tâche. Quoi qu’il en soit, la gestion des connaissances
a pour objectif de mieux percevoir les éléments et processus informationnels de l’organi-
sation. Cette perception plus adéquate favorise un nouvel usage de la connaissance et une
nouvelle capacité d’intégration de la connaissance à la vie opérationnelle et stratégique de
l’organisation. La gestion des connaissances, de par son impact sur la stratégie, la structure,
la décision et l’identité ou culture interne est une fonction de politique générale [Detrie 2005].
La gestion des connaissances peut alors s’apparenter à du conseil en organisation en termes
d’approche, d’impact et d’objectif [Tisseyre 1999]. D’un point de vue de ses activités, la gestion
des connaissances s’applique à un large panel de possibilités : des outils de veille économique à
l’intégration informatique de collecticiels (logiciels pour une utilisation collective) en passant
par des applications de e-learning par exemple. Le champ de la gestion des connaissances est
encore peu unifié, ce qui entraîne controverses et contradictions sur ses contours. Toutefois,
il est important de préciser que les outils et méthodes de gestion des connaissances vivent
principalement par, et à travers le REX issu des connaissances tacites des acteurs [Polyani 1958].
Voici les objectifs du REX que nous avons identifiés et mis en avant par rapport à notre angle
de recherche :
 la capacité à prendre les meilleures décisions dès la première fois : la contextualisation
du REX permet d’appliquer des solutions automatiquement dès lors que l’on se trouve
face à une même problématique dans un même contexte ;
 la réduction de la durée des cycles de décision : le REX contribue à améliorer les workflows
3
de décision ;
 la réduction de la subjectivité : la rationalisation par le REX explique objectivement les
raisons d’une décision ;
 le développement de la capacité d’innovation : l’utilisation de REX pour les activités
routinières laisse davantage de temps pour innover ;
 la diffusion de l’excellence, des meilleures pratiques et des faits techniques analysés : le
REX permet le partage et la mise à jour des référentiels métier notamment ;
 le développement de la capacité d’apprentissage : le partage de REX en communauté
accroît la mémoire collective.
Le REX s’inscrit donc dans la gestion du capital intellectuel de l’entreprise, des collectifs et
des individus.
Le modèle de l’entreprise étendue consacre ainsi autant d’importance aux flux d’informations
et de connaissances qu’aux flux physiques, par rapport à celui de la chaîne logistique. Les en-
treprises sont liées, voire immiscées les unes dans les autres, du point de vue de leurs richesses
immatérielles. Les entreprises se formant ainsi en réseau deviennent des organisations ap-
prenantes [Belet 2002 ; Senge et al. 1994] où la connaissance devient la principale source de
transaction.
Ainsi, étant dépendante de la gestion des connaissances qui elle, repose en grande partie sur
le REX, l’entreprise étendue dépend donc partiellement du REX pour son bon fonctionnement
global.
Or, de nombreux paramètres font en sorte que la connaissance de l’entreprise étendue et son
REX ne transitent pas entre organisations comme il le faudrait, et ceci pour plusieurs raisons :
 les entreprises en sous-traitance ne sont jamais sûres d’être sélectionnées pour les ap-
pels d’offres à venir et, par conséquent, préfèrent ne donner que le strict nécessaire de
connaissances afin de devenir autant que possible indispensables ;

3
Littéralement : « Flux de travail » ; terme anglais pour désigner un flux d’informations conduisant à un enchaîne-
ment de tâches au sein d’une organisation.

112
7.1. La sous-traitance dans l’aéronautique

 les entreprises en partenariat stratégique se trouvent souvent être aussi des partenaires
ou sous-traitants des concurrents principaux, ce qui entrave les communications et les concurrence
échanges sur les sujets les plus riches et innovants ;
 dans la gestion, la propriété intellectuelle joue un rôle important, sa protection est souvent
un facteur de rétention d’information et d’imperméabilité entre organisations ; propriété
intellectuelle
 malgré la mise en place aujourd’hui de la pratique d’entreprise étendue, la volonté de
transparence qui en est le vecteur principal de succès n’y est pas assez intégrée, rendant manque de
l’instauration d’une culture du partage et d’un climat de confiance entre entreprises transparence
difficiles.
Face à ces multiples freins et barrières, les outils de gestion des connaissances et de REX
inter-organisationnels sont encore peu répandus. Ce manque de REX ne contribue pas à la
performance maximale du système, car le REX pourrait augmenter la fiabilité organisationnelle
en diminuant notamment les risques projet (nous détaillerons ce point dans la suite du texte).
La question principale, sous-tendant la problématique générale, apparaît alors d’elle-même :
« Par quels moyens est-il possible de renforcer le REX dans l’entreprise étendue ? »

7.1.3 Le REX sur notre terrain industriel


Précisons dans quels termes nous allons envisager le REX : à travers ses objets, sa forme ainsi
que son organisation au sein d’Airbus. Il est important également pour la suite de ne pas
se restreindre au type de REX formalisé que nous allons présenter principalement, car nous
travaillerons aussi beaucoup sur le REX informel. Quoi qu’il en soit, les objectifs de chacun de
ces REX, formels ou informels, restent équivalents : la diffusion de l’excellence, l’apprentissage
collectif, la montée en compétence, etc.

Objets du REX

Le REX que nous entendons n’est pas exactement le même que celui que l’on trouve clas-
siquement dans les travaux portant sur la sécurité et le risque [Amalberti et Barriquault 1999 ;
Gilbert 1999 ; Lim et al. 2002]. Bien sûr des « REX sécurité » sont réalisés chez Airbus lors des
accidents et incidents ; ils ont alors des processus spécifiques et relatifs aux sujets qu’ils traitent
(accidents en production ou incidents lors de la phase d’essais d’un avion par exemple). Mais
nous insistons bien sur le fait que ce n’est pas ce genre de REX qui nous intéresse. Les REX
pertinents et en cohérence avec notre problématique, sont les REX techniques et organisation-
nels qui pourraient permettre d’améliorer le fonctionnement global des projets d’Airbus en
général et de son entreprise étendue par voie de conséquence.

Objets concernés par le REX chez Airbus

Plusieurs typologies de bonnes pratiques et de faits techniques analysés ayant eu un mode de


résolution adapté, sont décrites à travers l’outil de capitalisation de REX chez Airbus :

 la gestion haute du programme avion (gestion des risques, planning, budget, etc.) ;
 les processus organisationnels (interfaces, intégration des sous-traitants, etc.) ;
 les facteurs humains (formations, communication, etc.) ;
 les disciplines transverses (qualité, gestion de configuration, etc.) ;
 les méthodes et outils (supports informatiques, supports techniques, etc.) ;
 les données techniques du produit ou celles liées à sa conception (calculs, stress, etc.).

Ces REX, qu’ils soient formels ou informels, permettent d’améliorer le partage d’informations
et de connaissances grâce au principe de l’apprentissage organisationnel [Argyris et Schön 1978]
que nous détaillerons infra (cf. Section 7.3.4).

113
Facteurs socioculturels du REX

Formes du REX

Les REX se retrouvent sous un format de fiches informatisées (cf. Figure 7.2). Un outil applicatif
permet la génération, la diffusion et la maintenance de cette informatisation au travers des
processus qu’il manipule et d’une base de données qu’il gère.

Types de fiches REX à Airbus

Typiquement à Airbus, les fiches de REX sont classées explicitement en deux typologies :

 les bonnes pratiques (idées techniques ayant fait leurs preuves, plans d’action efficaces sur
un processus opérationnel, recommandations d’amélioration, etc.) ;
 les faits techniques analysés (résolution technique avancée et explicitée).

Afin d’être retrouvées facilement, ces fiches incluent dans l’objet de leur titre des adjectifs qualifica-
tifs rappelant une des deux typologies précitées.

• titre du REX
• résumé du sujet rencontré ;
• contexte et causes du sujet ;
• solution apportée sur le moment ;
• recommandation pour traiter le sujet
s’il devait se reproduire ;
• illustration ou lien vers des
documents ;
• domaine, programme et produit
concerné ;
• nom du créateur de la �che;
• nom du demandeur à l’origine de la
�che ;
• nom de l’expert ayant apporté ses
commentaires
• statut (brouillon, en cours
d’approbation, etc.)
•…

Fig. 7.2 – Exemple de fiche de REX technique

Organisation du REX

L’organisation globale de gestion du REX s’appuie sur plusieurs processus impliquant des
acteurs humains représentant soit les fournisseurs de REX, soit les approbateurs, soit les
clients à travers les différents départements.

Processus d’entreprise cadrant le REX

Trois processus sont mis en place à Airbus à travers l’outil applicatif, un processus de capture (dont
l’acteur principal est l’auteur de la fiche), un processus de réutilisation (dont l’acteur principal est
une personne chargée de réinjecter les REX des programmes précédents aux personnes correspon-
dantes sur un nouveau programme) et un processus de maintenance (dont l’acteur principal est
le coordinateur d’un service précis). D’autres sous-processus permettent de faire vivre les trois
premiers : ajout de commentaires par des experts, demandes de fiches de la personne devant ensuite
les réinjecter à un coordinateur, recherches personnelles de fiches, activités ad hoc, etc.

114
7.2. Comment améliorer la fiabilité organisationnelle dans l’entreprise étendue ?

7.2 Comment améliorer la fiabilité organisationnelle dans l’entreprise étendue ?


Dans le chapitre précédent, nous avons évoqué certains facteurs susceptibles d’entraver le
transit des connaissances et le REX au sein de l’entreprise étendue. Nous allons maintenant
préciser deux points critiques en ce qui concerne la maîtrise des risques, inhérents à ce
contexte. Nous allons exposer comment, à travers nos travaux, nous évaluerons les solutions
développées chez Airbus pour limiter les vulnérabilités et analyser la pertinence des REX
inter-organisationnels afin de pouvoir en identifier des pistes d’amélioration.

7.2.1 La maîtrise des risques dans l’entreprise étendue


Tout d’abord, une fragilité potentielle associée au manque de circulation du REX technique
pourrait apparaître. En effet, un des risques avérés lorsque le donneur d’ordres délègue la
réalisation d’un produit, réside dans la possibilité de ne plus posséder à terme une expertise
intégrale du produit conçu. C’est pourquoi la décision de produire en interne ou bien de
sous-traiter, « Make or Buy »4 en anglais, est un choix tactique et/ou stratégique de l’entreprise ;
cela permet de choisir les cibles du cœur de métier. Dans de telles conditions, le risque à
sous-traiter devient un risque préalablement identifié, localisable et analysé en conséquence
au sein de l’entreprise. En agissant de la sorte, tout est calculé pour que la maîtrise s’accumule
chez le sous-traitant sans que ce soit au détriment du donneur d’ordres. Dans le cas contraire, le
fait de ne pas concevoir en interne pourrait réduire à force considérablement les connaissances
dans le domaine. Cette diminution des compétences sur l’expertise et sur la maîtrise pourrait
alors être un risque notablement perturbateur. Cela sous-entendrait qu’à terme, le donneur
d’ordres ne pourrait plus juger de la pertinence des solutions techniques en réponses aux
exigences qu’il a formulées (cf. Figure 7.3).
Le phénomène précité de perte de connaissances est appelé « amnésie d’entreprise » [Sharif amnésie d’entreprise
et al. 2005]. Il est par exemple reconnu aujourd’hui que l’on serait incapable de refaire la
plupart des projets techniques avancés, antérieurs aux années 1980. En effet, les experts de
l’époque sont retraités, quant à la documentation, elle ne serait pas suffisante pour rationaliser
les mémoires de projet et les prises de décisions sur les choix techniques et technologiques
(archivage non régulier, rédaction de mémos inadéquats, décontextualisation de l’information,
etc.). Ce problème a heureusement été anticipé pour d’autres programmes comme ceux du
CEA5 lors de la construction des centrales nucléaires françaises.
Temps T Temps T+n Temps T+m
Transfert de compétence Perte d’expertise technique Perte de maîtrise technique

Expertise
Expertise Expertise technique
technique Maîtrise Expertise technique
technique technique Maîtrise
technique

Donneur d’ordre Sous-traitant Donneur d’ordre Sous-traitant Donneur d’ordre Sous-traitant

Fig. 7.3 – Du transfert de compétence à la perte de maîtrise technique

4 Littéralement : « Fabriquer ou Acheter ».


5
CEA : Commissariat à l’Énergie Atomique.

115
Facteurs socioculturels du REX

Si certaines organisations n’ayant pas anticipé et/ou géré ce problème lié à la sous-traitance
se trouvent dans la situation précédemment décrite, celle-ci ne se rencontre pas chez
Airbus. Afin de pallier les perturbations présentées ci-dessus, Airbus a toujours gardé un
minimum d’activité dans tous les domaines externalisés ayant des savoirs trop spécifiques
à la compagnie. Nonobstant les actions anticipatrices d’Airbus, la présente étude vise à
trouver d’autres processus d’amélioration, ce qui montre la volonté d’Airbus de conserver
une expertise particulièrement élevée en interne.

Pourrait également émerger une fragilité liée au contexte organisationnel. Le terme d’entre-
prise étendue sous-tend plusieurs niveaux de sous-traitance, des collaborations transverses,
des créations de « joint ventures »6 , etc. Le nombre d’interfaces croit dans ce cas de manière
exponentielle à chaque fois que l’on descend d’un niveau organisationnel. Concernant le
domaine de la sécurité, il a été clairement établi que c’est au niveau des interfaces que les
plus gros potentiels de danger apparaissent. L’appel croissant à la sous-traitance augmente
de manière drastique le nombre de ces interfaces. Cette croissance, si elle est aisée à intégrer
intellectuellement, est difficile à gérer opérationnellement lorsque l’on est donneur d’ordres,
ou au premier rang de sous-traitance.
Les pratiques managériales sont différentes pour chaque entreprise (voire au sein d’une même
entreprise) : la gestion de configuration, les procédures qualité ou encore les systèmes d’infor-
mation sont autant de pratiques pouvant amener à un problème organisationnel. Ce problème
organisationnel peut entraîner in fine un risque projet pouvant affecter un des trois indica-
teurs de performance que sont la qualité, le coût et le délai.
C’est par le biais de la maîtrise des risques que l’entreprise accroît sa robustesse7 en anticipant
les possibles perturbations et risques projet. Nous allons voir dans l’exemple suivant que le
REX formalisé est parfaitement propice à l’amélioration de cette maîtrise.

Bonnes pratiques chez Airbus

De nombreux Centres d’Excellence (équipes multidisciplinaires en charge de la réalisation des


produits) chez Airbus intègrent directement les REX organisationnels dans leur plan de Risk Mana-
gement. Les causes des problèmes formalisées dans ces REX sont considérées comme des risques,
puisqu’elles peuvent se répéter d’un programme aéronautique à un autre. Elles se voient en consé-
quence attribuer tout un ensemble de mesures (action préventive, action corrective) et de paramètres
(responsables, date de prévision, efficacité escomptée des mesures, etc.) pour éviter qu’elles se repro-
duisent par la suite. Les REX accompagnent clairement un plan d’assurance qualité et d’excellence
industrielle en support au management de l’entreprise.

7.2.2 Améliorer le REX inter-organisationnel


Dans le cadre de notre recherche, nous nous focalisons sur deux des principaux rôles du REX
que nous avons identifiés en première partie :
 la diffusion de l’excellence, des meilleures pratiques et des faits techniques analysés avec
un mode de résolution adapté ;
 le développement de la capacité d’apprentissage.

Nous cherchons à favoriser ces deux rôles dans le contexte de l’entreprise étendue.
Suite aux commentaires sur les objets, la forme et l’organisation du REX, se dégagent trois
conclusions principales :
 une capitalisation de REX, par chacune des deux parties (donneur d’ordres et sous-traitant),
sur des objets de type technique ou organisationnel, accompagnée d’un partage mutuel
entre elles, permettrait de pallier fortement les difficultés rencontrées dans les projets. Les
REX rationalisés (formels) ou tacites (informels) permettraient aux deux protagonistes
de travailler et de s’organiser d’une manière robuste et dynamique ;

6
Entreprise commune ou coentreprise.
7
Le terme de robustesse fait référence à la capacité que possède une entreprise à faire face aux perturbations qui pro-
viennent de changements internes ou de l’environnement extérieur, ou bien encore par exemple de l’incomplétude,
ou de l’inexactitude, des procédures, consignes et manuels à suivre en fonctionnement nominal (Fonctionnement
normal, quotidien de l’entreprise).

116
7.2. Comment améliorer la fiabilité organisationnelle dans l’entreprise étendue ?

 la forme du REX formel telle qu’elle est construite aujourd’hui permet pleinement de
rationaliser une grande partie des points forts et des points faibles d’un projet. Une double
montée en compétence (cf. Figure 7.4) peut être facilitée à condition que chaque acteur
prenne le temps d’intégrer dans son organisation les documents précités ;
 une meilleure organisation du REX inter-organisationnel ouvrirait de nouvelles perspec-
tives quant à l’intégration de processus formels de REX et une facilitation des processus
informels.

Temps T Temps T+n Temps T+m


Transfert de compétence Equilibrage des connaissances Montée mutuelle en compétence

Expertise Expertise
Expertise Expertise Expertise technique technique
technique Maîtrise technique technique
technique

Donneur d’ordre Sous-traitant Donneur d’ordre Sous-traitant Donneur d’ordre Sous-traitant

Fig. 7.4 – Du transfert de compétence à la montée mutuelle en compétence

Sachant que peu d’études ont été effectuées au sujet des processus d’apprentissage proprement
dits à partir de REX mutuels entre plusieurs organisations [Holmqvist 2003], nous avons décidé
de déterminer nous-mêmes de nouveaux processus pour améliorer les REX afin d’augmenter
la fiabilité organisationnelle8 et de diminuer le risque projet.
Nous nous attacherons à déterminer sur le terrain quelles sont les conditions optimales de
coopération entre donneur d’ordres et sous-traitant.

Notre hypothèse est qu’en marge du REX formalisé, procéduré, les mécanismes d’échange
et de partage informels sont porteurs de souplesse et d’adaptabilité, qu’ils sont par
conséquent bénéfiques pour l’entreprise étendue et contribuent à une meilleure fiabilité.
Notre objectif sera donc de détecter sur le terrain les pratiques informelles pertinentes
pour la sécurité et de déterminer quels sont les processus à développer pour favoriser
leur émergence.

Une réelle complétude ne peut se faire qu’à travers une collecte d’entretiens accompagnée
d’une observation participante. Ce n’est qu’une fois ces deux actions réunies que peut
être vraiment perçu le seul et véritable environnement dans lequel les acteurs de l’entreprise
exercent leurs tâches et appréhendent les actions [Rochlin 2001]. En suivant cette logique, voici
la méthodologie utilisée pour nos recherches :
Analyse exploratoire
Nous avons tout d’abord réalisé une analyse qualitative exploratoire sur un corpus de
vingt-cinq entretiens avec des cadres d’Airbus lors d’une observation participante en réali-
sant des REX opérationnels pour le service de gestion des connaissances. La plupart de ces
personnes appartenaient à des services et à des fonctions différents ce qui a élargi le spectre
des réponses. Cette exploration en terra incognita nous a permis d’induire des éléments à
discussion concernant les pratiques de management avec la sous-traitance (problématique
d’adaptabilité de l’environnement, émergence de relations informelles sur les plateaux de
conception, etc.). C’est grâce à cette analyse exploratoire, et à l’état de l’art sur les approches
existantes, qu’une grille d’analyse a été construite pour l’analyse qualitative.

8
Fiabilité concernant l’adéquation de relations complexes et d’interdépendances entre les éléments des sous-systèmes
sociaux (i.e. les acteurs), techniques (i.e. les outils en support) et organisationnels (i.e. la gestion des deux autres
sous-systèmes).

117
Facteurs socioculturels du REX

Analyse qualitative
Suite à cette analyse exploratoire, nous avons réalisé une analyse qualitative basée sur une
stratégie de recherche plus normalisée et couramment utilisée dans les sciences de gestion
[Jacques et al. 2002, 2004]. Globalement, trois types de matériel de recherche ont été collectés :

 du matériel discursif collecté par entretiens semi-directifs avec les acteurs des systèmes
suivis ;
 du matériel comportemental et de contexte collecté par observation participante et par
l’utilisation d’un carnet de laboratoire pour la prise de note ;
 des documents issus des procédures, des méthodes et des rapports de réunion.

Tout ce matériel sera utilisé pour une analyse de contenu et un traitement des données
approprié à la recherche telle qu’elle est définie et cadrée dans ce chapitre.
Par ailleurs, le matériel comportemental et de contexte est collecté en suivant un artefact
(comme un dossier de calcul par exemple), afin d’appréhender l’évolution du sens qui lui est
donné à travers le temps [Weick 1993, 1995] et de comprendre le processus de co-création qui
le fait évoluer. Le suivi de cet artefact se base en partie sur une méthodologie de type REXAO9
[Wybo 2004a,b] que nous n’expliciterons pas présentement.

7.3 État de l’art sur les approches déjà existantes


De nombreuses études ont traité des facteurs inter-organisationnels permettant une améliora-
tion de l’échange de REX comme par exemple :
 la transparence [Hamel 1991 ; Larsson et al. 1998] ;
 la confiance [Dodgson 1993 ; MossKanter 1994] ;
 la diversité et la similarité de l’autre [Lane et Lubatkin 1998 ; Simonin 1999].

Cependant, comme indiqué précédemment (cf. Section 7.2.2), peu de recherches se sont axées
sur les processus d’apprentissage issus de REX entre plusieurs organisations [Holmqvist 2003].
En premier lieu, nous aborderons les approches classiques en gestion des connaissances. L’uti-
lisation de certaines de ces applications, ou de processus spécifiques provenant principalement
de pratiques japonaises [Dyer et Nobeoka 2000], pourraient permettre une focalisation sur les
processus d’apprentissage inter-organisationnel. Nous verrons brièvement en première par-
tie ces applications internes et ces travaux, à titre d’illustrations seulement, car nous ne les
suivrons pas directement.
Nous effectuerons ensuite un bref état de l’art sur trois courants théoriques sur lesquels nous
nous appuyons pour atteindre nos objectifs en terme d’amélioration de la fiabilité organisa-
tionnelle et de diminution des risques projet :
 les Organisations à Haute Fiabilité (OHF) ou High Reliability Organisations (HRO) [Roberts
1988] ;
 le couplage faible ;
 l’apprentissage organisationnel.

Nous clarifierons ensuite l’utilisation de ces courants théoriques et leur articulation afin de
repréciser notre problématique et d’y répondre.

9
REXAO : Groupement d’étude et de recherche sur le Retour d’EXpérience et l’Apprentissage Organisationnel.

118
7.3. État de l’art sur les approches déjà existantes

7.3.1 Les approches classiques en gestion des connaissances


Les applications occidentales

Les mémoires d’entreprises sont nombreuses : mémoires de métiers, mémoires de projets,


mémoires managériales, etc. Chacune de ces mémoires peut avoir plusieurs formes :
 base de cas (par exemple : les fiches REX) ;
 base de connaissances (par exemple : les systèmes experts) ;
 représentation sous forme de processus ou encore par de la documentation classique.

Nous allons détailler les deux premières, qui se rapprochent le plus de notre étude.
Les bases de cas
Les fiches de REX comportent des connaissances tacites explicitées [Nonaka et Takeuchi 1995]
qui peuvent faire apparaître soit une bonne pratique à réitérer, soit un fait technique analysé :
elles peuvent donc impacter les performances futures de l’entreprise [Secchi et al. 1999]. Malgré
la difficile intégration des processus dédiés et l’investissement humain qui s’y rattache, les
entreprises continuent d’intégrer des systèmes à base de cas ce qui tend à démontrer les réels
avantages de l’échange de REX [Weber et al. 2000]. Ainsi, lors du départ d’un expert d’une
entreprise par exemple, les autres employés peuvent toujours bénéficier de fiches pouvant
leur servir à résoudre de nouveaux problèmes s’il n’y a pas une trop forte décontextualisation
[Kolmayer et Peyrelong 2002].
Le CEA est un des pionniers dans l’utilisation intra-organisationnelle de telles fiches d’expé-
rience. Son modèle de connaissance, nommé REX, constitue des « éléments d’expérience » par
le biais de « fiches d’expérience » réalisées sous forme de quatre entretiens d’un expert faisant
suite à une analyse complexe de ses activités [Malvache et Prieur 1993]. Le modèle REX a pour
objectif de capitaliser des expériences vécues par des détenteurs de connaissance et il n’y a
pas de modélisation à proprement parler lors de l’entretien. Les dites « fiches REX », décrivent
précisément comment, par exemple, un problème a été solutionné. Les fiches sont ensuite
traitées informatiquement : des réseaux de concepts sont créés pour retrouver les éléments de
connaissance recueillis.
Les bases de connaissances
Une des méthodologies de capitalisation des connaissances la plus connue est MKSM (Methodo-
logy for Knowledge System Management, en français Méthodologie pour la Gestion du Sytème
de Connaissances) ; elle fonctionne sur le principe de la modélisation des connaissances. Elle
permet à une entreprise de mémoriser et d’expliciter ses savoir-faire. Bien souvent, cette
connaissance critique se trouve sous forme tacite, emprisonnée dans la mémoire des individus
[Ermine et al. 1996]. En allant plus loin, on peut faire la distinction entre la connaissance tacite
exprimable et la connaissance tacite qui ne peut pas être explicitée. Mais, entre l’explicitable
et le non explicitable, il existe une certaine similarité pour le traitement de l’information 10 .
MKSM va essayer d’expliciter autant que possible un savoir tacite que les individus n’ont
jamais exprimé. MKSM rend visible cette connaissance, permet de la capitaliser et de la rendre
disponible sous diverses formes (modèles de tâches, de concepts, d’activités, etc.).
Il est reconnu que peu d’initiatives de gestion des connaissances ont été prises au niveau de la
chaîne logistique.

‘‘ Tandis que la plupart des cadres — même ceux à la pointe de la gestion des connaissances —
applaudissent les efforts et initiatives de gestion des connaissances pour les fournisseurs et les clients,
ils reconnaissent que de telles initiatives demeurent en grande partie à un stade embryonnaire
[Whiting 1999].

Malgré leurs intérêts indéniables pour les REX formels, ces approches occidentales ne semblent
pourtant pas pouvoir nous permettre de répondre à notre problématique traitant des REX
informels.

10
Parole d’expert : Jean-Louis Ermine. Les tribunes, 2007, http ://www.atelier.fr/tribune/parole,expert,
jean-louis,ermine-6506-Tribune.html.

119
Facteurs socioculturels du REX

Les approches orientales


Jusqu’à présent, la plupart des pratiques traitant de la gestion des connaissances dans l’entre-
prise étendue sont d’origine japonaise :
 le shukko, qui est la migration temporaire d’employés d’une entreprise à une autre [Sato
1996] ;
 le tensekki, qui consiste à changer d’emploi sur un long terme dans une autre entreprise
avant de revenir dans son entreprise d’origine [Fujiki et al. 2001] ;
 le keiretsu [Lincoln et al. 1996], qui est une mise en réseau efficiente et très performante
de plusieurs entreprises ;
 le concept de Ba, qui crée de nouvelles connaissances dans les communautés [Nonaka et
Konno 1998].

Cependant, les approches d’origine japonaise s’appliquent souvent mal aux cultures occiden-
tales. C’est pour cette raison que l’approche que nous allons proposer restera originale par
rapport à l’ensemble des travaux de recherche précédemment cités. Notre approche s’orientera
vers un fonctionnement plus approprié pour les entreprises occidentales qui sont très diffé-
rentes de leurs homologues nipponnes. Nos entreprises nécessitent plus d’artefacts et de mise
à disposition d’opportunités pour enfin véhiculer leurs connaissances entre organisations.

7.3.2 Les HRO ou Organisations à Haute Fiabilité


Avant d’aborder les HRO, il faut parler des systèmes « à haut risque », ou « high-risk systems »
en anglais, que l’on retrouve dans la littérature de [Perrow 1984]. Cet auteur les a définis comme
des systèmes dont les interactions sont complexes, à séquences anormales, non planifiées ou
non attendues et qui ne sont ni visibles ni compréhensibles immédiatement par les opérateurs.
Le second élément de Perrow est le couplage fort, qui est opposé au couplage faible, dont on
parlera infra. De par ce couplage fort, l’accident serait inévitable, endogène, donc « normal »
selon Perrow. Les corollaires de ces couplages forts sont les suivants :
 les processus de fonctionnement sont très dépendants du temps alloué ;
 les séquences d’activités sont rigides ;
 il n’y a qu’un seul et unique moyen pour atteindre un but donné ;
 les opérations sont réalisées avec une très faible marge de manœuvre.

Les membres du groupe HRO 11 ont, au départ, cherché à prendre une position différente à la
théorie de Perrow. Leur logique était d’identifier les caractéristiques propres des organisations
« à haute fiabilité » afin d’y faire correspondre une catégorie conceptuelle. Pour ce faire,
une identification « positive » de ces facteurs de fiabilité devait être réalisée de manière à
pouvoir permettre des prescriptions relatives au fonctionnement de ce genre d’organisation
[Roberts 1990]. Ces organisations répondent, d’après les membres du groupe HRO, à certains
comportements tels que ceux décrits ci-dessous [Bourrier 1999] :
1. elles impliquent la maîtrise de technologies de plus en plus complexes demandant une
très grande variété de compétences au niveau opérationnel ;
2. en cas d’erreur, l’activité pratiquée implique des risques multiples dont les conséquences
peuvent être variées ;
3. le risque perçu et encouru par le public impose à ces organisations de fonctionner sans
erreurs et sous le regard constant d’autorités de sûreté ;
4. le management de ces organisations doit sans arrêt concilier les exigences de sécurité
des employés et de la population avec d’excellentes performances économiques ;
5. ce type d’organisation est engagé dans un processus dynamique constant de quête de
fiabilité et est en permanence remis en question.
Dans son approche descriptive de la problématique, Bourrier liste, de manière non exhaustive,
tout un ensemble d’éléments, aussi divers que variés, participant à l’amélioration de la fiabi-
lité organisationnelle. Parmi ces facteurs, nous pouvons en citer quelques-uns qui sont très
pertinents et que nous tacherons de reprendre dans la suite de nos travaux :

11
Groupe de chercheurs né à l’Université de Berkeley en 1985 autour de Karlene Roberts.

120
7.3. État de l’art sur les approches déjà existantes

 les processus de décision ;


 les structures formelles et informelles des organisations ;
 le traitement des erreurs et des non conformités ;
 la conception, validation, et modification des procédures ;
 le choix des solutions techniques ;
 l’institutionnalisation des procédures de REX ;
 la constitution des mémoires collectives, etc.

Le concept des HRO est donc un des cadres théoriques sur lesquels nous nous appuyons pour
nourrir notre recherche. En effet, si suite à la définition de Perrow, le conglomérat que forme
Airbus et son entreprise étendue pourrait être considéré comme un système « à haut risque »
(car les produits issus des lignes d’assemblage final résultent d’interrelations d’acteurs et
de processus à couplages forts), la définition du groupe de Berkeley [Bourrier 1999], fait qu’il
reproduit aussi certaines caractéristiques des HRO. En effet :
1. Airbus utilise des technologies extrêmement complexes ;
2. une erreur sur un processus engendre des risques pouvant être très lourds ;
3. plusieurs autorités de sûreté travaillent en coopération avec cette entreprise ;
4. sécurité et performance sont les maîtres mots ;
5. et enfin la fiabilité et les habitudes de travail sont perpétuellement remises en question.
Ce cadre nous permettra d’hybrider en se préservant d’éclectisme les concepts de couplage
faible et d’apprentissage organisationnel puisque la littérature remarque que ces deux concepts
sous-tendent en partie les niveaux de fiabilité extraordinaires et durables des HRO.

7.3.3 Le couplage faible


Le concept de couplage faible est apparu dans les années 1970 à travers des travaux en
psychologie [March et Olsen 1975] et en biologie [Glassman 1973]. Ce concept y est alors défini
comme une connexion, un lien, voire une interdépendance. Par couplage faible, les auteurs
ci-dessus ont l’intention d’expliquer le fait que des sous-ensembles faiblement couplés sont liés
l’un à l’autre bien que chacun d’entre eux préserve son identité propre et son indépendance
physique ou logique [Weick 1976]. Une idée générale et propre au couplage faible, revient sou-
vent à établir un protocole d’échange relativement simple et à imposer le moins de contraintes
possibles entre des pairs. Les structures fonctionnant sur du couplage faible sont donc plus
souples et plus ouvertes.
De par son travail sur l’état de l’art et sur son approche personnelle, [Weick 1976] a tenté une
énumération des différentes fonctions de tels couplages. En résumé voici les caractéristiques12
qu’il a retenues :
1. En reprenant l’argument de base de Glassman, il soutient que les couplages faibles di-
minuent la probabilité qu’une organisation soit perturbée par un élément extérieur. Les
couplages faibles sont donc porteurs de robustesse.
2. En se basant sur une théorie de la perception [Heider 1959], Weick affirme que les couplages
faibles fournissent un mécanisme de détection sensible et performant aux variables exté-
rieures du système puisqu’ils augmentent la qualité et le nombre de médias d’information
possibles.
3. Les systèmes faiblement couplés sont propices aux adaptations locales puisque, si deux
systèmes sont faiblement couplés, alors la modification d’une perturbation de l’un n’en-
traînera pas de modifications sur l’autre par exemple.
4. Les systèmes faiblement couplés dont l’unicité, l’identité, et la séparation des éléments
sont préservées, peuvent permettre un grand nombre de mutations et d’évolutions par
rapport à un système dont le couplage des éléments serait fort.

12
On notera que ces caractéristiques peuvent être positives ou négatives en fonction du contexte environnemental et
de l’effet recherché sur le système étudié.

121
Facteurs socioculturels du REX

5. Si une partie d’un système dont les couplages sont dits faibles vient à faillir, alors les
autres portions ou sous-ensembles n’en seront pas directement affectés (à condition que
ces sous-ensembles n’aient pas besoin de faire appel aux services de la partie défaillante
lors de sa période de défaillance).
6. Les possibilités d’auto-déterminations sont plus nombreuses pour chaque acteur de
chaque sous-système a fortiori.
7. Les couplages faibles permettent d’obtenir des systèmes relativement peu chers puisqu’ils
diminuent les besoins en coordination des actions des sous-ensembles qui engendre
habituellement un coût en temps et donc en argent.
Le concept de couplage faible renvoie généralement à des types d’interaction non formalisés
et implicites entre plusieurs acteurs. Peuvent être regroupés dans ce concept, les processus in-
formels d’échanges de connaissances, les créations d’organisations informelles ou bien encore
les redéfinitions tacites de règles. Par opposition, le concept de couplage fort se définit comme
le lien direct provenant d’interdépendances fortes entre plusieurs éléments difficilement dis-
tincts d’un système [Perrow 1984]. Le couplage fort peut être assimilé à tout ce qui a trait aux
procédures officielles, aux coopérations formelles ou aux descriptions contractuelles de tâches.
Ces deux concepts sont complémentaires et c’est leur co-existence qui assure la réussite de
projets confrontés à un haut niveau d’incertitude [Grote 2006]. En dépit du fait que les cou-
plages forts prévalent sur les faibles dans les environnements socio-économiques stabilisés,
ce sont les couplages faibles qui sont plus souvent mobilisés pour résoudre efficacement des
situations difficiles ou imprévues. Des événements non planifiés, spécialement des problèmes
techniques, surviennent fréquemment durant les processus de développement technologique
[Hobday et Rush 1999]. Dans une logique HRO, ces perturbations sont regardées comme des
opportunités pour l’amélioration des connaissances et des compétences des individus et des
organisations [Grote 2006]. Des couplages faibles œuvrent dans cette logique car ils permettent
une utilisation plus fréquente des REX informels sur les perturbations de part et d’autre de
l’entreprise complexe.

De par les nombreux avantages que présentent les systèmes faiblement couplés, il apparaît
légitime de se demander si leur mise en pratique ne serait pas judicieuse dans le cadre des
relations inter-organisationnelles afin d’améliorer la fiabilité.

7.3.4 L’apprentissage organisationnel

‘‘ Pour devenir organisationnel, l’apprentissage résultant de l’investigation doit s’intégrer aux re-
présentations mentales que les membres se forgent de l’organisation et/ou aux objets inscrits dans
l’environnement organisationnel [Argyris et Schön 1978].

L’apprentissage organisationnel est devenu un thème souvent abordé, bien que controversé,
dans les travaux en sciences de gestion au cours des années 1990. Il se trouve en particulier
au cœur du paradigme stratégique fondé sur l’analyse des ressources de l’entreprise [Hamel et
Prahalad 1989 ; Leonard-Barton 1992 ; Prahalad et Hamel 1990]. On peut regrouper la littérature qui
porte sur l’apprentissage organisationnel autour de deux écoles :
 les partisans de l’organisation de l’apprentissage (ou organisation apprenante) déve-
loppent une approche normative, axée sur la pratique [Beaujolin 2001 ; Belet 2002 ; Senge
et al. 1994] ;
 les théoriciens de l’apprentissage organisationnel le traitent comme un sujet de recherche,
s’éloignent de la pratique et sont non prescriptifs [Holmqvist 1999 ; Pedon et Schmidt 2003].
Cependant, ces deux écoles convergent sur certaines idées fondamentales. La démarche straté-
gique des partisans de l’organisation de l’apprentissage porte sur la valorisation des compé-
tences internes de l’entreprise, guidée par une vision stratégique afin de garantir la croissance.
La notion de cœur de compétences, définie comme un apprentissage collectif dans la coordi-
nation des compétences technologiques avec les compétences en organisation du travail et
en communication [Prahalad et Hamel 1990] remplace celle du domaine d’activité stratégique.
La dynamique de formation des pôles de compétences renvoie alors à celle de l’apprentissage

122
7.3. État de l’art sur les approches déjà existantes

organisationnel, c’est-à-dire à la faculté de l’organisation à acquérir, transférer, exploiter de


nouveaux savoirs et savoir-faire [Pedon et Schmidt 2003].
La notion d’apprentissage organisationnel retenue est celle, désormais usuelle depuis les
travaux d’ [Argyris et Schön 1978], qui distingue les apprentissages en boucle simple et boucle
double :
 l’apprentissage en boucle simple est un processus comportemental d’adaptation/réponse
ou de correction d’erreurs dans des schémas organisationnels établis et non remis en
cause ;
 l’apprentissage en boucle double est un processus cognitif, de remise en cause des modèles
mentaux, qui conduit à l’adoption et la production de nouveaux schémas de connaissance,
de pensée et d’action.
Ce courant, avec les possibilités qu’il génère dans le contexte de l’entreprise étendue, nous
semble très pertinent à étudier.

7.3.5 Précision de la problématique et articulation de la thèse


Il a été dit en première partie (cf. Section 7.1.2) que la problématique générale était de trouver
par quels moyens il était possible de renforcer le REX dans l’entreprise étendue. Suite aux
informations relatives à l’apport de fiabilité organisationnelle par le REX en deuxième partie
(cf. Section 7.2), et suite à l’exposé des courants théoriques pouvant contribuer à donner un
cadre à nos travaux en troisième partie, nous allons pouvoir affiner notre problématique et
positionner notre recherche.

Hypothèse

Une controverse a été trouvée puisque la littérature dit que ce sont les couplages forts qui
assurent la cohérence dans les organisations ; or, nous tentons de démontrer que les couplages
faibles sont parfois aussi nécessaires pour le REX dans les organisations complexes.

Précision de la problématique

Avant de pouvoir comprendre les manifestations des couplages forts et faibles entre individus
dans les organisations, il sera nécessaire au préalable d’effectuer une analyse, de qualifier les
couplages faibles observés et d’en trouver les descripteurs :
 classer les couplages faibles dans différentes catégories provenant de la littérature ;
 créer de nouvelles catégories de couplages faibles, propres aux relations en entreprise
étendue, afin de traiter les résidus tout en apportant une extension de la qualification
initiale.
Notre volonté est ensuite de déterminer sur le terrain les indicateurs et descripteurs qui pour-
raient nous permettre d’identifier des couplages faibles. Ceci nous permettrait ultérieurement
de vérifier pour un couplage donné lié au REX, entre un donneur d’ordres et un sous-traitant,
s’il est faible ou fort et quel est son effet ou rôle. En partant de l’hypothèse décrite ci-dessus, la
problématique précise de la thèse sera finalement de déterminer « Comment se manifeste
le couplage entre donneur d’ordres et sous-traitant ? ». Nous pourrons alors prescrire
les conditions permettant de faire émerger les couplages faibles et, in fine, gérer au mieux
les couplages faibles, véhicules de REX informels, dans les organisations. Deux questions
entrelacées sous-tendent fortement cette problématique et nous permettront d’y répondre
plus distinctement :
 une question d’ordre organisationnel qui est de comprendre « Quelle est l’organisation
qui permet au mieux une coopération dans le cadre de l’entreprise complexe ? » ;
 une seconde avec une approche plus orientée processus qui est d’appréhender « Comment
se déroule le processus d’hybridation de la connaissance qui apporte de la co-création de
valeur à partir de REX mutuel entre les différentes organisations ? ».
En résumant la littérature, un jeu de contraintes minimal et/ou un niveau d’abstraction élevé
de ces contraintes pourraient permettre à l’entreprise complexe — sous certaines conditions —
de réaliser des coopérations et co-créations de valeurs plus efficientes et robustes.

123
Facteurs socioculturels du REX

Il s’agirait donc d’apporter de la fiabilité organisationnelle aux HRO à travers des couplages
faibles entre donneur d’ordres et sous-traitants. Cependant ces nouveaux couplages ne doivent
contraindre en rien les couplages forts de niveaux plus hauts dans l’organisation. Ils doivent
permettre de réaliser des adaptations locales et propres au duo « Donneur d’ordres / Sous-
traitant ». Notre objectif est de révéler l’intérêt de provoquer des couplages faibles par l’in-
termédiaire de couplages forts — c’est-à-dire de procédurer à travers des actions formelles la
génération d’informel — ; pour cela il sera utile de répondre à des questions comme celles qui
suivent par exemple :
 En quoi une réunion va-t-elle créer de l’informel ?
 Sous quelles conditions cet informel va-t-il émerger (Est-ce en rapport avec la légitimité
des acteurs ? Quel est la part de prescrit et d’improvisé ? etc.)
 Quelles sont les modalités de ces couplages ?
 Quelle est la hiérarchie de ces couplages et qu’apportent-ils ?
 Quels phénomènes permettraient de trouver les couplages pour ensuite les classer en
fort / faible ?
Mais avant de suggérer qu’il pourrait être opportun de les provoquer, nous devrons valider au
préalable l’hypothèse que les échanges informels permettent un partage d’expérience entre
organisations et l’hypothèse qu’il est possible de les faciliter. Nos résultats devraient nous
permettre in fine de mieux appréhender :
 Quels sont les objets les plus appropriés aux REX formels et informels ?
 Quels sont les avantages et les inconvénients de chaque type de REX ?
 Comment favoriser les points positifs de ces deux types de REX et comment les articuler ?

Articulation de la thèse

Bien que les interactions des acteurs ne puissent être directement contrôlées, une utilisation
intelligente d’artefacts matériels et processuels favorise les opportunités d’actions, augmentant
elles-mêmes les chances d’atteindre un objectif visé. À partir de l’utilisation du couplage faible,
nous sommes en capacité de les interpréter selon divers attributs relatifs aux HRO. Le niveau
d’apprentissage organisationnel est aussi un de ces attributs relevés sur le terrain. Cette
instanciation des couplages nous permet de comprendre d’un point de vue phénoménologique
le type d’apprentissage organisationnel associé à chaque type de couplage faible que nous
relevons sur le terrain. Nous cherchons à intégrer et à réutiliser ces couplages dans des modèles
systémiques représentant les relations qu’ils entretiennent avec les différents niveaux de
l’apprentissage organisationnel. Nous souhaitons apporter une pratique de travail collaboratif
avec une fiabilité accrue (en opposition à la fragilité classique d’un contrôle top-down13 ) et
une robustesse accrue (par une plus grande tolérance aux incertitudes). Pour ce faire, nous
mettrons en application ces modèles afin de vérifier et de valider sur le terrain que les couplages
facilités orientent les apprentissages organisationnels les meilleurs quant à une situation et à
un objectif visé.

Posture épistémologique

Deux approches épistémologiques permettent de tenter de comprendre les perturbations ap-


paraissant dans le temps. L’approche positiviste considère que la fiabilité est un fait matériel
que l’on peut appréhender à travers les incidents. Une action sur la technologie et sur le « fac-
teur humain » est primordiale. C’est l’approche classique des ingénieurs et des ergonomes.
L’approche constructiviste considère que la sûreté est un « fait de conscience » selon la
terminologie de [Girin 1977] qui est le produit des représentations symboliques que les opéra-
teurs construisent collectivement dans l’action. Ce débat n’est pas théorique, il comporte une
inscription sociale forte [Journé 1997].

13
Littéralement du haut vers le bas

124
7.4. Conclusion

Nous nous inscrivons clairement dans une approche épistémologique constructiviste. Plu-
tôt que d’anticiper ou de tenter de détecter toutes les perturbations, nous considérons
que les organisations doivent laisser la capacité à chacun de leurs acteurs de répondre
localement à une perturbation.

Les organisations s’inscrivent presque toujours sur l’approche positiviste d’anticipation des
problèmes plutôt que sur ce principe de construction d’action collective au niveau local. C’est
pour cette raison que nous allons traiter ce problème de génération de REX par une approche
de type constructiviste où les acteurs du système se retrouvent au cœur des décisions et
contribuent à l’apprentissage collectif.

7.4 Conclusion
Nous avons clairement exprimé que les applications de gestion de connaissances et les concepts
d’HRO, de couplage faible et d’apprentissage organisationnel sont des conditions nécessaires,
mais non suffisantes à elles seules pour pallier les problématiques que nous avons développées.
Notre travail sera donc d’approfondir leur utilisation simultanée pour accroître la fiabilité de
systèmes complexes comme l’entreprise étendue.
Les réunions, échanges de REX informels ou formels, conflits et litiges, en bref les relations
humaines qui se déroulent aujourd’hui dans l’entreprise complexe, s’apparentent encore trop
à des apprentissages en boucles simples. En effet, tout est effectué pour que les planifications
et jalons soient respectés au mieux, mais trop peu d’actions s’inscrivent vraiment dans les
processus ou artefacts organisationnels et elles ne sont réalisées que ponctuellement. La
nouvelle connaissance apprise doit être intégrée et appliquée dans les nouveaux processus de
développement. La littérature traditionnelle au sujet de la transmission de connaissance se
concentre sur l’apport en connaissance mais peu sur son assimilation [Yang 2005]. Notre but est
donc de détecter les couplages faibles actuellement existant afin de montrer par nos analyses
qualitatives que plus de couplages faibles permet une augmentation des REX informels et
qu’ils sont bénéfiques in fine pour l’entreprise complexe. Par nos travaux, nous cherchons à
apporter de la robustesse à notre système « Donneur d’ordres/ Sous-traitant » en phase projet.
De plus, divers travaux traitent de la description globale d’une HRO, cependant aucune modé-
lisation n’a été réalisée à ce jour [DeBruijne 2007 ; VanFenema 2003]. Sachant que la conception
d’une HRO n’est pour l’instant ni prescriptive, ni normative pour un haut niveau d’abstrac-
tion, il serait intéressant d’établir une « norme » HRO spécifique aux organisations à haute
fiabilité en réseau [DeBruijne 2007] comme l’est l’entreprise étendue. Cette norme s’appuierait
sur certains concepts de la littérature, augmentés de nos propres conclusions de recherche.

125
Bibliographie

Accart, J.-P. (2003). Veillez et partager vos connaissances. Archimag, 160:32–34.


Aggeri, F. et Segrestin, B. (2002). Comment concilier innovation et réduction des délais ? Quelques leçons tirées du
développement de la Laguna II. Gérer et Comprendre, 67.
Ajzen, I. et Holmes, W. H. (1976). Uniqueness of behavioral effects in causal attribution. Journal of Personality,
44(1):98–108. doi : 10.1111/j.1467-6494.1976.tb00586.x.
Alcouffe, C. et Corrégé, N. (2004). Structures de gouvernance dans l’entreprise étendue : l’exemple d’Airbus. Rapport
technique 393, LIHRE-Unité mixte de recherche CNRS/UT1.
Alhakami, A. S. et Slovic, P. (1994). A psychological study of the inverse relationship between perceived risk and
perceived benefit. Risk Analysis, 14(6):1085–1096. doi : 10.1111/j.1539-6924.1994.tb00080.x.
Allais, M. (1953). Le comportement de l’Homme Rationnel devant le risque et critique des postulats et axiomes de
l’école américaine. Econometrica, 21:503–546. Disponible à http ://www.jstor.org/stable/1907921.
Alter, N. (2000). L’innovation ordinaire. Presses Universitaires de France, Paris. isbn : 978-2130583530, 324 pages.
Amalberti, R. (1996). La conduite de systèmes à risques. Coll. Le Travail Humain. PUF, Paris, 2 édition. isbn :
978-2130522775, 239 pages.
Amalberti, R. (2001). The paradoxes of almost totally safe transportation systems. Safety Science, 37(2-3):109–126.
doi : 10.1016/S0925-7535(00)00045-X.
Amalberti, R. (2006). Chapitre Optimum system safety and optimum system resilience : agonistic or antagonistic
concepts ?, dans Resilience Engineering : Concepts and Precepts (Hollnagel, E., Woods, D. D., et Leveson, N., Éd.).
Ashgate Publishing Ltd., Aldershot, UK. isbn : 978-0754646419.
Amalberti, R. et Barriquault, C. (1999). Fondements et limites du retour d’expérience. Annales des Ponts et Chaussées,
numéro spécial « Incidents, accidents, catastrophes. Retours d’expérience », numéro 91:67–75.
Ansoff, H. I. et McDonnell, E. J. (1990). Implanting strategic management. Prentice Hall International, 2 édition. isbn :
978-0134519159, 520 pages.
Arborio, A.-M. et Fournier, P. (2003). L’observation directe : l’enquête et ses méthodes. Nathan, Paris. isbn :
978-2200249151, 128 pages.
Argyris, C. et Schön, D. A. (1978). Organizational learning : a theory of action perspective. Addison Wesley, Reading,
MA, USA. isbn : 978-0201001747, 356 pages.
Axelsson, L. (2006). Chapitre Structure for management of weak and diffuse signals, dans Resilience Engineering :
Concepts and Precepts (Hollnagel, E., Woods, D. D., et Leveson, N., Éd.). Ashgate Publishing Ltd, Aldershot, UK.
isbn : 978-0754646419.
Bales, R. F. et Cohen, S. P. (1979). SYMLOG : A system for the multiple level observation of groups. Free Press.
Balmisse, G. (2002). Gestion des connaissances — Outils et application du Knowledge Management. Vuibert, Paris,
France.
Beaud, S. et Weber, F. (2003). Guide de l’enquête de terrain. La Découverte, Paris.
Beaudouin, F. (2006). Chapitre Aide à la décision pour le management des risques industriels, dans Risques industriels —
Complexité incertitude et décision — Une approche interdisciplinaire (Magne, L. et Vasseur, D., Éd.), pages 371–400.
Lavoisier, Paris.
Beaudouin, F., Munier, B., et Serquin, Y. (1999). Chapitre Multi-attribute decision making and generalized expected utility
in nuclear power plant maintenance, dans Beliefs, Interactions and Preferences in Decision Making (Machina, M. J. et
Munier, B., Éd.), pages 341–357. Kluwer Academic Publisher, Dordrecht, The Netherlands. isbn : 978-0-7923-8599-8.
Beaujolin, F. (2001). Vers une organisation apprenante. Liaisons sociales, Paris, France.
Becker, G., Pariès, J., Bieder, C., Heijer, T., et Hale, A. (2006). Special challenges. Safety Science Monitor, 10(1). Disponible
à http ://www.monash.edu.au/muarc/IPSO/vol10/5becker.pdf.
Belet, D. (2002). Devenir une vraie entreprise apprenante : les meilleures pratiques. Éditions d’organisation, Paris, France.
isbn : 978-2708128361, 217 pages.
Bieder, C. (2006). Les facteurs humains dans la gestion des risques : évolution de la pensée et des outils. Hermès Science,
Paris. isbn : 978-2746212206, 216 pages.
Bieder, C. et Pariès, J. (2003). AMSMA — Aviation Maintenance Safety Management Assistant : a top-down approach
to derive general safety lessons from reported events. Dans JRC/ESReDA seminar on Safety Investigation of Accidents,
Petten, The Netherlands.
Boeing (2007). Statistical summary of commercial jet airplane accidents, worldwide operations 1959–2006. Rapport
technique, Boeing.
Bontis, N. (2000). Assessing knowledge assets. A review of the models used to measure intellectual capital (framework
paper). Rapport technique, Queen’s University at Kingston.
Boughzala, I., Zacklad, M., et Matta, N. (2001). L’ingénierie de la coopération et l’entreprise étendue : Cas pratique
dans l’industrie du textile. Dans Modélisation et Simulation « Conception, Analyse et gestion des Systèmes Industriels »,
Troyes, France.
Bourdeaux, I. et Gilbert, C. (1999). Procédures de REX, d’apprentissage et de vigilance organisationnelles : approches
croisées. Programme Risques Collectifs et Situation de Crise, Éditions CNRS, Grenoble, France.

127
Facteurs socioculturels du REX

Bourrier, M. (1999). Le nucléaire à l’épreuve de l’organisation. Coll. Le Travail Humain. PUF, Paris, France. isbn :
978-2130502579, 304 pages.
Bourrier, M. (2002). Bridging research and practice : the challenge of “normal operations” studies. Journal of
Contingencies and Crisis Management, 10(4):173–180. doi : 10.1111/1468-5973.00194.
Bourrier, M. et Laroche, H. (2001). Risque de défaillance : les approches organisationnelles. Dans Amalberti, R., Éd.,
Risques, erreurs et défaillances. Approche interdisciplinaire, pages 15–51. CNRS, MSH-Alpes.
Cacciabue, P. C. (2000). Human factors insight and reliability data from accident reports : The case of ADREP-2000
for aviation safety assessment. Dans PSAM 5 – International Conference on Probabilistic Safety Assessment and
Management, Osaka.
Cadet, B. (2006). Chapitre Percevoir et évaluer les risques — Les apports de la psychologie en matière de traitement de
l’information, dans Psychologie des risques (Kouabenan, R. D., Cadet, B., Hermand, D., et Munoz-Sastre, M. T., Éd.),
pages 37–56. De Boeck.
Cadet, B. et Kouabenan, D. R. (2005). Évaluer et modéliser les risques : apports et limites de différents paradigmes
dans le diagnostic de sécurité. Le Travail Humain, 68:7–35.
Capraro, M. et Baglin, G. (2002). L’entreprise étendue et le développement des fournisseurs. Presses Universitaires de
Lyon, Lyon, France.
Caron-Fasan, M.-L. (2001). Une méthode de gestion de l’attention aux signaux faibles. Systèmes d’Information et
Management, 6(4).
Claveau, N. et Séville, M. (2004). Le tireur de sonnette d’alarme, un acteur-clé du management stratégique ? Dans
13ème conférence de l’AIMS, Normandie, Vallée de Seine.
Cocquempot, C., Prost, M., et Carmignac, D. (2003). Interceptions et introductions en France de longicornes asiatiques :
Cas des Anoplophora Glabripennis (Motschulsky, 1913) et Chinensis (Forster, 1771) (Coleoptera Cerambycidae).
Bulletin mensuel de la Société linnéenne de Lyon.
de Courville, B. (2000). Prévention et retour d’expérience à Air France. Dans Congrès de la Société Francophone
d’Informatique et de Monitorage en Anesthésie et Réanimation, Lille.
Crawley, J. (2008). Airline groundings end, but U.S. scrutiny tougher. Thomson Reuters India. Disponible à http :
//www.reuters.com/article/2008/04/13/us-airlines-faa-idUSN1330335220080413.
Crozier, M. et Friedberg, E. (1977). L’acteur et le système : les contraintes de l’action collective. Seuil, Paris. isbn :
978-2020182201, 500 pages.
Cru, D. (1993). Aucun risque ! Travail, représentation du risque et prévention. Éducation Permanente, 117:75–83.
Dake, K. (1992). Myths of nature : culture and the social construction of risk. Journal of Social Issues, 48(4):21–37.
doi : 10.1111/j.1540-4560.1992.tb01943.x.
Davis, E. W. et Spekman, R. E. (2003). The Extended Enterprise : Gaining Competitive Advantage through Collaborative
Supply Chains. Financial Times Prentice Hall.
DeBruijne, M. (2007). Networked reliability : From monitoring to incident management. Dans 4th International
Conference on Information Systems for Crisis Response and Management (ISCRAM), pages 385–393, Delft, The
Netherlands.
Dekker, S. W. (2005). Ten questions about human error : A new view of human factors and system safety. Lawrence
Erlbaum Publishers, New Jersey.
Detrie, J.-P. (2005). Strategor : Politique générale de l’entreprise. Dunod, Paris. isbn : 978-2100083145, 877 pages.
Dien, Y. (2006). Retour d’expérience, lanceurs d’alerte et facteurs organisationnels. Dans Séminaire de Saint-André
Risques Industriels et Sécurité : les organisations en question.
Dodgson, M. (1993). Learning, trust and technological collaboration. Human relations, 46(1):77–95. doi :
10.1177/001872679304600106.
Douglas, M. et Wildavsky, A. (1982). Risk and culture : an essay on the selection of technological and environmental
dangers. University of California Press, Berkeley, USA. isbn : 0-520-05063-0.
Dubost, J. (1987). L’intervention psycho-sociologique. PUF, Paris.
Dugdale, J. et Pavard, B. (2001). Introduction to complexity : complex systems theory and social science. Assimilation
of the complexity paradigm. Rapport technique, GRIC-IRIT, Toulouse, France. Disponible à http ://www.irit.fr/
COSI/training/complexity-tutorial/complexity-tutorial.htm.
van Dyck, C., Frese, M., Baer, M., et Sonnentag, S. (2005). Organizational error management culture and its
impact on performance : a two-study replication. Journal of Applied Psychology, 90(6):1228–1240. doi :
10.1037/0021-9010.90.6.1228.
Dyer, J. H. et Nobeoka, K. (2000). Creating and managing a high-performance knowledge-sharing network : the
Toyota case. Strategic Management Journal, 21:345–367.
Edmondson, A. C. (1996). Learning from mistakes is easier said than done : Group and organizational influences on
the detection and correction of human error. Journal of Applied Behavioural Science, 32:5–28.
Ermine, J.-L., Chaillot, M., Bigeon, P., Charreton, B., et Malavieille, D. (1996). MKSM, méthode pour la gestion des
connaissances. Ingéniérie des systèmes d’information, 4(4):541–575.
de Finetti, B. (1937). La prévision : ses lois logiques, ses sources subjectives. Annales de l’Institut Henri Poincaré,
7:1–68.
FonCSI (2005). Facteurs socioculturels de réussite du REX. Rapport technique, FonCSI. Appel à propositions
scientifiques sur le REX.
Fujiki, H., Nakada, S. K., et Tachibanaki, T. (2001). Structural issues in the Japanese labor market : An era of variety,
equity, and efficiency or an era of bipolarization ? Monetary and Economic Studies, 19:177–208.
Gaillard, I. (2005). Analyse bibliographique des facteurs socio-culturels de réussite du retour d’expérience. Cahiers de
la Sécurité Industrielle 2008-01, Fondation pour une Culture de Sécurité Industrielle, Toulouse, France. Disponible à
http ://www.foncsi.org/.

128
Bibliographie

Gauthey, O. (2005). État des pratiques industrielles de REX. Cahiers de la Sécurité Industrielle 2008-02, Fondation
pour une Culture de Sécurité Industrielle, Toulouse, France. Disponible à http ://www.foncsi.org/.
Gergen, K. J. (1999). An invitation to social construction. Sage Publications, London, UK. isbn : 978-0803983779, 200
pages.
Gilbert, C. (1999). Premiers éléments de réflexions pour une approche transversale du retour d’expérience. Annales
des Ponts et Chaussées, 91:4–10.
Gilbert, C. (2001). Retours d’expérience : le poids des contraintes. Annales des Mines, 22. Disponible à http ://annales.
com/re/2001/re04-2001/gilbert09-24.pdf.
Girin, J. (1977). Du neutron au neuron, réflexions sur le concept de sûreté et son analyse. Rapport technique, École
polytechnique, Paris.
Glassman, R. B. (1973). Persistence and loose coupling in living systems. Behavioral Science, 18(2):83–98. doi :
10.1002/bs.3830180202.
Grote, G. (2006). Rules management as source for loose coupling in high-risk systems. Dans Second Resilience
Engineering Symposium, Juan les Pins, France.
Gyekye, S. A. et Salminen, S. (2005). Responsibility assignment at the workplace : a Finnish and Ghanaian perspective.
Scandinavian Journal of Psychology, 46:43–48.
Hale, A. R. (2000). Conditions of occurrence of major and minor accidents. Dans Conditions et mécanismes de
production des défaillances, Actes MSH-Alpes, CNRS.
Hamel, G. (1991). Competition for competence and interorganisational learning within international strategic alliances.
Strategic Management Journal, 12:83–103.
Hamel, G. et Prahalad, C. K. (1989). Strategic intent. Harvard Business Review, pages 63–76.
Hamel, G. et Prahalad, C. K. (1994). Competing for the future. Harvard Business Review, 72(4):122–128.
Hammond, J. S., Keeney, R. L., et Raifa, H. (1998). The hidden traps in decision making. Harvard Business Review,
76(5). doi : 10.1225/5408.
Hatchuel, A. (1992). L’intervention de chercheurs en entreprise. Éducation Permanente, 113:73–88.
Hatchuel, A. et Molet, H. (1986). Rational modelling in understanding and aiding human decision making : about
two case studies. European Journal of Operations Research, 24(1):178–186. doi : 10.1016/0377-2217(86)90024-X.
Heider, F. (1958). The psychology of interpersonal relations. Wiley, New York. isbn : 978-0898592825, 336 pages.
Heider, F. (1959). Thing and medium. Psychological Issues, 1(3):1–34.
Heimbeck, D., Freese, M., Sonnetag, S., et Keith, N. (2003). Integrating errors into the training process : The function
of error management instructions and the role of goal orientation. Personnel Psychology, 56:333–361.
Hejduk, I. K. (2005). On the way to the future : The knowledge-based enterprise. Human factors and ergonomics in
manufacturing, 15(1):5–14.
Hobday, M. et Rush, H. (1999). Technology management in complex product systems : Ten questions answered.
International Journal of Technology Management, 17:618–638.
Hollnagel, E. (2004). Barriers and Accident Prevention. Ashgate Publishing Ltd, Aldershot, UK. isbn : 978-0754643012,
226 pages.
Hollnagel, E. et Woods, D. D. (1983). Cognitive systems engineering. New wine in new bottles. International Journal
of Man-Machine Studies, 18(6):583–600. doi : 10.1016/S0020-7373(83)80034-0.
Hollnagel, E., Woods, D. D., et Leveson, N. (2006). Resilience Engineering : Concepts and Precepts. Ashgate Publishing,
Aldershot, UK. isbn : 978-0754646419, 410 pages.
Holmqvist, M. (1999). Learning in imaginary organisations : Creating interorganisational knowledge. Journal of
Organizational Change Management, 12(5):419–438. doi : 10.1108/09534819910289101.
Holmqvist, M. (2003). Intra- and interorganisational learning processes : an empirical comparison. Scandinavian
Journal of Management, 19(4):443–466. doi : 10.1016/S0956-5221(03)00055-1.
Hopkins, A. (2006). Studying organizational cultures and their effects on safety. Safety Science, 44(10):875–889. doi :
10.1016/j.ssci.2006.05.005.
Jacques, J.-M., Bodson, D., Hennuy, L., Jacques, C., et Wallemacq, A. (2002). volume 65, Chapitre L’information forme
l’organisation qui la forme, dans Le manuel de la police, pages 89–107. Kluwer.
Jacques, J.-M. et Latiers, M. (2007). Le travail d’articulation à distance en situation d’urgence : Perspective située.
Dans XVIème Conférence Internationale de Management Stratégique, Montréal.
Jacques, J.-M., Lobet-Maris, C., et Rousseau, A. (2004). La modernisation de l’hôpital : kaléidoscope du changement.
Presses Universitaires de Namur.
Johnson, C. W. (2000). The limitations of aviation incident reporting. Dans HCI Aero 2000 : International Conference
on Human-Computer Interfaces in Aeronautics, pages 17–22, Toulouse, France. Disponible à http ://www.dcs.gla.ac.
uk/~johnson/papers/reminders/.
Joule, R.-V. et Beauvois, J.-L. (2002). Petit traité de manipulation à l’usage des honnêtes gens. Presses Universitaires de
Grenoble, Grenoble.
Journé, B. (1997). Positivisme et constructivisme dans la sûreté et la fiabilité des centrales nucléaires. Dans Constructi-
visme et Sciences de Gestion, pages 124–134, Lille, France.
Journé, B. (2001). La prise de décision dans les organisations à haute fiabilité : entre risque d’accident et risque
bureaucratique. Cahiers de l’Artémis, Organisation et Stratégies Industrielles,
3:101–126.
Journé, B. et Raulet-Croset, N. (2004). Le concept de « situation » dans les sciences du management : analyser
l’indétermination, l’incertitude, l’ambiguïté et l’imprévu dans l’organisation. Dans Congrès de l’AIMS, Le Havre,
France.

129
Facteurs socioculturels du REX

Kahneman, D., Slovic, P., et Tversky, A. (1982). Judgment under uncertainty : Heuristics and biases. Cambridge
University Press, Cambridge, UK. isbn : 978-0521284141, 544 pages.
Kahneman, D. et Tversky, A. (1973). On the psychology of prediction. Psychological Review, 80(4):237–251. doi :
10.1037/h0034747.
Keeney, R. et Raiffa, H. (1976). Decisions with multiple objectives : Preference and value tradeoffs. John Wiley and Sons,
New York.
Kim, C. S., Tannock, J., Byrne, M., Farr, R., Cao, B., et Er, M. (2004). State of the art review – Techniques to model
the supply chain in an extended enterprise : VIVACE consortium members. Rapport technique, Operations
Management Division, University of Nottingham. Disponible à http ://www.vivaceproject.com/content/engine/
tmscee_full.pdf.
Knight, F. H. (1921). Risk, uncertainty and profit. Houghton Mifflin Company. Disponible à http ://www.econlib.org/
library/Knight/knRUP0.html.
Kolmayer, E. et Peyrelong, M.-F. (2002). Partage de connaissances ou partage de documents ? Rapport technique,
Enssib-Gresi. Disponible à http ://archivesic.ccsd.cnrs.fr/docs/00/06/20/79/PDF/sic_00000100.pdf.
Kouabenan, D. R. (1998a). Beliefs and the perception of risks and accidents. Risk Analysis, 18:243–252. doi :
10.1111/j.1539-6924.1998.tb01291.x.
Kouabenan, D. R. (1998b). Chapitre L’analyse naïve de l’accident : une nouvelle perspective pour la formation à la
sécurité, dans Psychologie sociale et formation professionnelle (Py, J., Somat, A., et Baillé, J., Éd.), pages 193–206.
Presses Universitaires de Rennes, Rennes.
Kouabenan, D. R. (1999). Explication naïve de l’accident et prévention. Presses Universitaires de France (PUF), Paris.
Kouabenan, D. R. (2000a). Explication ordinaire des accidents, perception des risques et stratégies de protection.
Pratiques Psychologiques, 1:85–97.
Kouabenan, D. R. (2000b). Chapitre Décision, perception du risque et sécurité, dans Traité de psychologie du travail et
des organisations (Bernaud, J. L. et Lemoine, C., Éd.), pages 279–321. Dunod, Paris.
Kouabenan, D. R. (2006). Chapitre Des croyances aux comportements de protection, dans Psychologie du Risque : Identifier,
évaluer, prévenir (Kouabenan, D. R., Cadet, B., Hermand, D., et Sastre, M. T. M., Éd.), pages 241–289. Éditions de
Boeck. isbn : 2-8041-5217-0.
Kouabenan, D. R. et Cadet, B. (2005). Risk evaluation and accident analysis. Advances in Psychology research, 36:61–80.
Kouabenan, D. R., Cadet, B., Hermand, D., et Sastre, M. T. M. (2006). Psychologie du Risque : Identifier, évaluer, prévenir.
Éditions de Boeck, Bruxelles. isbn : 2-8041-5217-0.
Kouabenan, D. R., Gilibert, D., Médina, M., et Bouzon, F. (2001). Hierarchical position, gender, accident severity, and
causal attribution. Journal of Applied Psychology, 31(3):553–575.
Kouabenan, D. R. et Guyot, J.-M. (2004). Study of the causes of pedestrian accidents by severity. Journal of Psychology
in Africa, 14(2):119–126.
Körvers, P. (2004). Accident precursors : pro-active identification of safety risks in the chemical process industry. Thèse
de Doctorat, Technische Universiteit Eindhoven.
Lagadec, P. et Guilhou, X. (2002). Chapitre Les conditions de survenue des crises graves (Actes de la seconde séance du
séminaire « Le risque de défaillance et son contrôle par les individus et les organisations dans les activités à hauts
risques »), dans Conditions et mécanismes de production des défaillances, accidents et crises (Amalberti, R., Fuchs, C.,
et Gilbert, C., Éd.), pages 157–210. Éditions CNRS — Ministère de la Recherche, MSH-Alpes, Grenoble, France.
Disponible à http ://www.patricklagadec.net/fr/pdf/crises_graves.pdf.
Lane, P. J. et Lubatkin, M. (1998). Relative absorptive capacity and interorganisational learning. Strategic Management
Journal, 19:461–477.
Langer, E. J. (1975). The illusion of control. Journal of Personality and Social Psychology, 32(2):311–328. doi :
10.1037/0022-3514.32.2.311.
Lannoy, A. et Procaccia, H. (2001). L’utilisation du jugement d’expert en sûreté de fonctionnement. Éditions Technique
et Documentation, Paris. isbn : 978-2743004842, 392 pages.
Larsson, R., Bengtsson, L., Henriksson, K., et Sparks, K. (1998). The interorganisational learning dilemna : Collective
knowledge development in strategic alliances. Organization Science, 9:285–305.
Lassagne, M. (2004). Management des risques, stratégies d’entreprise et réglementation — Le cas de l’industrie maritime.
Thèse de Doctorat, École Nationale Supérieure d’Arts et Métiers. Disponible à http ://pastel.archives-ouvertes.fr/
docs/00/49/98/46/PDF/TheseLassagne1.pdf.
Le Moigne, J.-L. (1990). La modélisation des systèmes complexes. Dunod, Paris. isbn : 978-2100043828, 178 pages.
LeCoze, J.-C. (2005). Are organisations too complex to be integrated in technical risk assessment and current safety
auditing ? Safety Science, 43:613–638.
Leonard-Barton, D. (1992). Core capabilities and core rigidities : A paradox in managing new product development.
Strategic Management Journal, 13:111–125.
Leplat, J. (1968). Attention et incertitude dans les travaux de surveillance et d’inspection. Dunod, Paris.
Leplat, J. (2002). De l’étude de cas à l’analyse de l’activité. Pistes, 4(2):1–31.
Lesca, H. (2001). Veille stratégique : passage de la notion de signal faible à la notion de signe d’alerte précoce. Dans
Colloque VSST (Veille Stratégique, Scientifique et Technologique), Barcelone, Espagne.
Lesca, H. et Blanco, S. (2002). Contribution à la capacité des entreprises par la sensibilisation aux signaux faibles.
Dans 6ème congrès international francophone sur les PME, HEC Montréal.
Lesca, H. et Castanos, J. C. (2004). Capter les signaux faibles : comment amorcer le processus. Economica e Gestao,
4(7):15–34.
Leveson, N. (2002). Systems safety engineering : Back to the future. MIT. Disponible à http ://sunnyday.mit.edu/book2.pdf.

130
Bibliographie

Leveson, N. (2003). White paper on approaches to safety engineering. Disponible à http ://sunnyday.mit.edu/caib/
concepts.pdf.
Leveson, N. (2004). A new accident model for engineering safer systems. Safety Science, 42:237–270. Disponible à
http ://sunnyday.mit.edu/accidents/safetyscience-single.pdf.
Lewin, K. (1964). Psychologie dynamique, les relations humaines. PUF, Paris.
Lim, S., Lecoze, J.-C., et Dechy, N. (2002). Intégration des aspects organisationnels dans le REX. L’accident majeur, un
phénomène complexe à étudier. Rapport Technique numéro 366988, INERIS. Disponible à http ://www.ineris.fr/.
Lincoln, J. R., Gerlach, M. L., et Ahmadjian, C. L. (1996). Keiretsu networks and corporate performance in Japan.
American Sociological Review, 61(1):67–88.
Llory, M. (1996). Accidents industriels, le coût du silence. Opérateurs privés de parole et cadres introuvables. L’Harmattan,
Paris.
MacDonald, G. (1999). Accidents : un rude apprentissage. Annales des Ponts et Chaussées, 91:62–66.
Malvache, P. et Prieur, P. (1993). Mastering corporate experience with the REX method, management of industrial
and corporate memory. Dans International Symposium on the Management of Industrial and Corporate Knowledge,
Compiègne, France.
Marais, K., Dulac, L., et Leveson, N. (2004). Beyond normal accidents and high reliability organizations : The need for
an alternative approach to safety in complex systems. Dans MIT ESD Symposium. Disponible à http ://esd.mit.edu/
symposium/pdfs/papers/marais-b.pdf.
March, J. G. (1991). Décisions et Organisations. Éditions d’Organisation, Paris, France.
March, J. G. et Olsen, J. P. (1975). Choice situations in loosely coupled worlds. Unpublished manuscript, Stanford
University, 1975.
March, J. G. et Simon, H. S. (1965). Les Organisations. Dunod, Paris.
Mathieu, J. E., Goodwin, G., Heffner, T. S., Salas, E., et Cannon-Bowers, J. A. (2000). The influence of sha-
red mental models on team process and performance. Journal of Applied Psychology, 85(2):273–283. doi :
10.I037t/0021-9010.85.2.273.
Mayo, E. (1933). The human problems of an industrial civilization. Macmillan, New York. isbn : 978-0415279888, 204
pages.
Mays, C., Charron, S., et Brenot, J. (2003). Social trust and confidence in the management of long lived radioactive
wastes : Qualitative data from France. Dans Extended version after the VALOR presentation, Stockholm, Stockholm.
Mevel, O. (2004). Du rôle des signaux faibles sur la reconfiguration des processus de la chaîne de valeur de l’organisation :
l’exemple d’une centrale d’achats de la grande distribution française. Thèse de Doctorat, École doctorale Lettres,
Langues, Société et Gestion et École Nationale Supérieure des Télécommunications de Bretagne.
Midler, C. (1993). L’auto qui n’existait pas : Management des projets et transformation de l’entreprise. InterÉditions,
Paris, France. isbn : 2-7296-0506-1, 216 pages.
Mortureux, Y. (2004). Le retour d’expérience en questions. Techniques de l’Ingénieur, traité L’Entreprise Industrielle
AG 4608.
MossKanter, R. (1994). Collaborative advantage : The art of alliances. Harvard Business Review, 72:97–108.
Moulin, V. et Pariès, J. (2007). Predir : État de l’art dans la gestion du risque organisationnel et théorie de la complexité.
Rapport technique DAST/SEA/2006/003, DGAC/DAST.
Munier, B. (2000). L’ingénierie du risque. Risques : Les Cahiers de l’Assurance, 44:27–32.
Munier, B. (2001). Risk attitudes appraisal and cognitive coordination in decentralized decision systems. Group
Decision and Negotiation, 10(2):141–158.
Munier, B. (2005). Évaluation des risques : surmonter la complexité. Ponts et Chaussées Magazine, 103(11):12–15.
Neal, A. et Griffin, M. (2004). Chapitre Safety climate and safety at work, dans The psychology of workplace safety
(Frone, M. et Barling, J., Éd.). American Psychological Association, Washington D.C.
Nielsen, B. B. (2002). Synergies in strategic alliance, motivation and outcomes of complementary and synergistic
knowledge networks. Journal of Knowledge Management Practice.
Nonaka, I. et Konno, N. (1998). The concept of “ba” : building a foundation for knowledge creation. California
Management Review, 40(3):40–54.
Nonaka, I. et Takeuchi, H. (1995). The knowledge-creating company : How Japanese Companies Create the Dynamics of
Innovation. Oxford University Press. isbn : 978-0195092691, 304 pages.
Norbjerg, P. M. (2004). The creation of an aviation safety reporting culture in Danish air traffic control. Dans Open
Reporting and Just Culture Workshop : Legal Impediments, pages 1–12, Eurocontrol, Brussels.
Ostberg, G. (2006). An unassorted collection of remarks on aspects, perspectives and dimensions of weak signals.
Rapport technique, University of Lund, Sweden.
Pariès, J. (1996). Evolution of the aviation safety paradigm : Towards systemic causality and proactive actions. Dans
Hayward, B. et Lowe, A., Éd., Applied Aviation Psychology : Achievement, Change and Challenge – Proceedings of
the third Australian Aviation Psychology Symposium, pages 39–49. Gower Technical.
Pariès, J. (1999). Shift in aviation safety paradigm is key to future success in reducing air accidents. ICAO Journal,
Montréal, Canada, 54(5). Presentation to the ICAO Regional Symposium on Human Factors and Aviation Safety,
Santiago du Chili.
Pariès, J. et Bieder, C. (2003). A complementary approach to support risk management and decision-making. Dans
6th Australian Aviation Psychology Symposium, Sydney, Australia.
Pedon, A. et Schmidt, G. (2003). L’apprentissage organisationnel en PME : Réalité et déterminants. Rapport technique,
GREGOR, Paris.
Perrow, C. (1984). Normal accidents : Living with High-Risk Technologies. Basic Books, New York. isbn :
978-0465051427.

131
Facteurs socioculturels du REX

Perrow, C. (1999). Actes de la quatorzième séance, organisations à hauts risques et « normal accidents ». Point de vue
de Charles Perrow. Dans Séminaire du programme risques collectifs et situation de crise, CNRS, Paris, France.
Polyani, M. (1958). The tacit dimension. Anchor Books, Garden City, New York, USA.
Poumadère, M. et Mugnai, C. (2006). Chapitre Perception des risques et gouvernance de la sécurité industrielle, dans
Psychologie du risque : identifier, évaluer et prévenir les risques (Kouabenan, R., Cadet, B., et D.Hermand, Éd.). De
Boeck, Bruxelles.
Prahalad, C. K. et Hamel, G. (1990). The core competence of the corporation. Harvard Business Review, 68(3):79–91.
Pransky, G., Snyder, T., Dembe, A., et Himmelstein, J. (1999). Under-reporting of work-related disorders in the
workplace : a case study and review of the litterature. Ergonomics, 42(1):171–182. doi : 10.1080/001401399185874.
Prax, J.-Y. (2000). Le guide du knowledge management – Concepts et pratiques du management de la connaissance.
Dunod, Paris. isbn : 978-2100047017, 266 pages.
Prax, J.-Y. (2003). Le manuel du knowledge management – Une approche de seconde génération. Dunod, Paris. isbn :
978-2100047178.
Qureshi, S., Briggs, R. O., et Hlupic, V. (2006). Value creation from intellectual capital : Convergence of knowledge
management and collaboration in the intellectual bandwidth model. Group Decision and Negotiation, 15(3):197–220.
doi : 10.1007/s10726-006-9018-x.
Rasmussen, J. (1997). Risk management in a dynamic society : a modelling problem. Safety Science, 27(2):183–213.
doi : 10.1016/S0925-7535(97)00052-0.
Raufaste, E. et Hilton, D. J. (1999). Les mécanismes de la décision face au risque. Risques, 39.
Rayner, S. (1988). Chapitre The rules that keep us equal : Complexity and the costs of egalitarian organization, dans Rule,
decisions and inequality in egalitarian societies (Flanagan, J. et Rayner, S., Éd.), pages 20–42. Avebury, England.
Reason, J. (1990). Human Error. Cambridge University Press. isbn : 978-0521314190, 316 pages.
Reason, J. (1993). L’erreur humaine. Coll. Le Travail Humain. Presses Universitaires de France, Paris. Traduit par J. M.
Hoc, de « Human Error », 1990, Cambridge University Press, isbn : 213045187X.
Reason, J. (2000). Human error : Models and management. British Medical Journal, 320:768–770. doi :
10.1136/bmj.320.7237.768.
Reid, D. (2000). Alliance formation issues for knowledge-based enterprises. Rapport technique, Queen’s Management
Research Centre for Knowledge-Based Enterprises.
Reix, R. (2004). Système d’information et management des organisations. Coll. Gestion. Librairie Vuibert, 5 édition.
isbn : 978-2711775682, 486 pages.
Renou, Y. (2004). Économie fondée sur la connaissance, nouvelles formes organisationnelles et la question des
frontières de la firme : une compréhension théorique historisée de l’entreprise réseau. Dans 13ème Rencontres
« Histoire et Gestion », pages 1–21, Toulouse, France. Disponible à http ://halshs.archives-ouvertes.fr/docs/00/10/
48/55/PDF/pub04047.pdf.
Rippl, S. (2002). Cultural theory and risk perception : A proposal for a better measurement. Journal of Risk Research,
5(2):147–165. doi : 10.1080/13669870110042598.
Roberts, K. H. (1988). Some characteristics of HRO, organizational behavior and industrial relations. Rapport technique
OBIR-23, Berkeley : University of California, Berkeley Business School.
Roberts, K. H. (1990). Managing high reliability organizations. California Management Review, 32(4):101–113.
Rochlin, G. I. (1999). Safe operation as a social construct. Ergonomics, 42(11):1549–1560. doi :
10.1080/001401399184884.
Rochlin, G. I. (2001). Chapitre Les organisations à haute fiabilité : bilan et perspectives de la recherche, dans Organiser
la fiabilité (Bourrier, M., Éd.), pages 39–70. L’Harmattan, Paris.
Ross, L. (1977). volume 10, Chapitre The intuitive psychologist and his shortcomings : Distortions in the attribution
process, dans Advances in experimental social psychology (Berkowitz, L., Éd.), pages 173–220. Academic Press, New
York.
Roux-Dufort, C. (2000). Aspects sociaux et culturels des signaux faibles dans les organisations. Dans Conférence
Association ECRIN, Paris.
Roy, B. (1985). Méthodologie multicritère d’aide à la décision. Economica. isbn : 978-2717809015, 423 pages.
Roy, B., Damart, S., et David, A. (2001). Comment organiser et structurer le processus de décisions pour favoriser la
concertation entre parties prenantes et accroître la légitimité de la décision. Rapport technique DRAST-01-27, INIST-
CNRS, Ministère de l’équipement, des transports et du logement, Programme de Recherche et de développement
pour l’innovation et la technologie dans les transports terrestres, Puteaux, France.
Sarnin, P. (2000). Les compétences professionnelles : descriptif, mesure et développement. L’Harmattan, Paris. isbn :
2-7384-9534-6, pages 49–57.
Sato, H. (1996). Keeping employees employed : Shukko and tenseki job transfers–Formation of a labor market within
corporate groups. Japan Labor Bulletin, 35(12):45–61.
Savage, L. J. (1954). The foundations of statistics. Wiley, New York, Dover. isbn : 978-0486623498, 310 pages.
van der Schaaf, T. et Kanse, L. (2004). Biases in incident reporting databases : an empirical study in the chemical
process industry. Safety Science, 42(1):57–67. doi : 10.1016/S0925-7535(03)00023-7.
Secchi, P., Ciaschi, R., et Spence, D. (1999). A concept for an ESA lessons learned system. Dans Secchi, P., Éd., Alerts
and Lessons Learned : An effective way to prevent failures and problems, pages 57–61, Noordwijk, The Netherlands.
ESTEC.
Sellini, F., Cloonan, J., Carver, E., et Williams, P. (2006). Collaboration across the extended enterprise : barrier or
opportunity to develop your knowledge assets. Dans TMCE, pages 1–9, Ljubljana, Slovenia.
Senge, P., Roberts, C., et Smith, B. (1994). The fifth discipline fieldbook : Strategies and tools for building a learning
organization. Currency, New York.

132
Bibliographie

Sharif, M. N. A., Zakaria, N. H., Ching, L. S., et Fung, L. S. (2005). Facilitating knowledge sharing through lessons
learned system. Journal of Knowledge Management Practice, 12.
Simonin, B. L. (1999). Ambiguity and the process of knowledge transfer in strategic alliances. Strategic Management
Journal, 20:595–623.
Slovic, P. (1987). Perception of risk. Science, 236(4799):280–285. doi : 10.1126/science.3563507.
Slovic, P. (1993). Perceived risk, trust and democracy. Risk Analysis, 13(6):675–682. doi :
10.1111/j.1539-6924.1993.tb01329.x.
Slovic, P. (1998). The risk game. Reliability Engineering & System Safety, 59(1):73–77. doi :
10.1016/S0951-8320(97)00121-X.
Slovic, P., Finucane, M. L., Peters, E., et Gregor, D. G. M. (2004). Risk as analysis and risk as feelings : some thoughts
about affect, reason, risk and rationality. Risk Analysis, 24(2):311–322. doi : 10.1111/j.0272-4332.2004.00433.x.
Slovic, P., Finucane, M. L., Peters, E., et MacGregor, D. G. (2002). Chapitre Rational actors or rational fools : implications
of the affect heuristic for behavioral economics, dans Intuitive judgment : heuristics and biases (Gilovich, T., Griffin,
D., et Kahneman, D., Éd.). Cambridge University Press.
Snook, S. A. (2000). Friendly fire : The accidental shootdown of US Black Hawks over Northern Iraq. Princeton University
Press, Princeton, USA. isbn : 978-0691095189, 280 pages.
Steele, K. et Pariès, J. (2007). Barriers to safety innovation : Experiences applying the “safety model based analysis”
approach in European aviation. Dans Proceedings of the 14th International Symposium on Aviation Psychology,
Dayton, USA.
Strauss, A. (1985). Work and the division of labor. The Sociological Quaterly, 26(1):1–19. doi :
10.1111/j.1533-8525.1985.tb00212.x.
Strauss, A. (1988). The articulation of project work : an organizational process. The Sociological Quaterly, 29(2):163–178.
doi : 10.1111/j.1533-8525.1988.tb01249.x.
Strauss, A. (2005). La trame de la négociation. Sociologie qualitative et interactionnisme. L’Harmattan, Paris.
Taylor-Gooby, P. et Zinn, J. (2005). Current directions in risk research : reinvigorating the social ? Social Contexts and
Responses to Risk Network (SCARR), 8:1–29.
Tea, C. (2007). Retour d’expérience et estimation des risques. Dans Colloque Malveillance et Conception des systèmes
d’information pour la gestion des risques. Institut pour la Maîtrise des Risques.
Tea, C. (2008). Integration of subjective data in the decision making process. Dans PSAM 9 — International Conference
on Probabilistic Safety Assessment and Management.
de Terssac, G. (2001). Chapitre Les risques de la rationalisation du point de vue de la sociologie du travail, dans Risques,
erreurs et défaillances : approche interdisciplinaire (Amalberti, R., Fuchs, C., et Gilbert, C., Éd.), pages 169–216.
Éditions CNRS – Ministère de la Recherche, MSH-Alpes, Grenoble, France.
de Terssac, G. et Friedberg, E. (1996). Coopération et conception. Collection Travail. Octarès, Toulouse. isbn :
978-2906769335, 332 pages.
Tisseyre, R.-C. (1999). Knowledge management — Théorie et pratique de la gestion des connaissances. Hermès, Paris.
Turner, B. A. (1978). Man-made Disasters. Wykeham Publications, London. isbn : 0844813729.
Turner, B. A. et Pidgeon, N. F. (1997). Man-made disasters. Butterworth-Heinemann, 2 édition. isbn : 978-0750620871,
200 pages.
Tversky, A. et Kahneman, D. (1974). Judgment under uncertainty : heuristics and biases. Science, 185:1124–1131. doi :
10.1126/science.185.4157.1124.
VanFenema, P. C. (2003). Collaborative elasticity and breakdowns in high reliability : Contributions from distributed
cognition and collective mind theory. Dans Second International Workshop on Analyzing Collaborative Activity,
pages 1–8, Amsterdam, Netherlands.
Vaughan, D. (1996). The Challenger launch decision : Risky technology, culture and deviance at NASA. University of
Chicago Press, Chicago. isbn : 978-0-226-85175-4.
Vaughan, D. (1999). Actes de la quinzième séance « technologie à haut risques, organisations et culture : le cas de
Challenger. Point de vue de Diane Vaughan ». Dans Séminaire du programme risques collectifs et situation de crise,
Paris, France.
Vaughan, D. (2003). Report vol. 1. Rapport technique, Columbia Accident Investigation Board. Disponible à http :
//www.nasa.gov/columbia/home/CAIB_Vol1.html.
Vidal, P. (2000). Contribution à la théorie des Systèmes d’Informations organisationnels. De l’automatisation analytique
à l’ingéniérie des processus de décisions en situation complexe. Thèse de Doctorat, Université d’Aix-Marseille III.
Vidal, P. (2002). Chapitre Risques et systèmes d’informations, dans Comprendre et gérer les risques (Moreau, F., Éd.).
Éditions d’Organisation, Paris.
Von Neumann, J. et Morgenstern, O. (1953). Theory of games and economic behavior. Princeton University Press,
Princeton, USA. 3rd ed. (1st ed 1944), isbn : 978-0471911852.
Weber, R., Aha, D. W., Munoz-Àvila, H., et Breslow, L. A. (2000). Active delivery for lessons learned systems. Dans
Advances in Case-Based Reasoning, 5th European Workshop, EWCBR2, pages 322–334, Trento, Italy.
Weick, K. E. (1976). Educational organization as loosely coupled systems. Administrative Science Quaterly, 21:1–19.
Disponible à http ://www.jstor.org/stable/2391875.
Weick, K. E. (1993). Collapse of sensemaking in organizations : the Mann Gulch disaster. Administrative Science
Quaterly, 38(4):628–652. doi : 10.2307/2393339.
Weick, K. E. (1995). Sensemaking in organizations (Foundations for organizational science). Sage Publications, Thousand
Oaks, CA. isbn : 978-0803971776, 235 pages.
Weiner, B. (1985). An attributional theory of achievement motivation and emotion. Psychological Review, 92(4):548–573.
doi : 10.1037/0033-295X.92.4.548.

133
Facteurs socioculturels du REX

Weinstein, N. D. (1989). Effects of personal experience on self-protective behavior. Psychological Bulletin, 105(1):31–50.
doi : 10.1037/0033-2909.105.1.31.
Weinstein, N. D. (2000). Perceived probability, perceived severity, and health-protective behaviour. Health Psychology,
19(1):65–74. doi : 10.1037/0278-6133.19.1.65.
Whiting, R. (1999). Myths and realities. Information Week, pages 1–5. Disponible à http ://www.informationweek.com/
762/know.htm.
Woods, D. D. (2003). Creating foresight : How resilience engineering can transform NASA’s approach to risky decision
making. Dans Testimony on the Future of NASA for Committee on Commerce, Science and Transportation, John McCain,
Chair. Disponible à http ://citeseerx.ist.psu.edu/viewdoc/download ?doi=10.1.1.133.6470&amp ;rep=rep1&amp ;type=pdf.
Woods, D. D. (2004). Creating foresight : Lessons for enhancing resilience from Columbia. Rapport technique,
Institute for Ergonomics, The Ohio State University. Disponible à http ://csel.eng.ohio-state.edu/woods/space/
Create%20foresight%20Col-draft.pdf.
Woods, D. D. (2006). Chapitre How to design a safety organization, dans Resilience engineering : concepts and precepts
(Hollnagel, E., Woods, D. D., et Leveson, N., Éd.). Ashgate, Aldershot, UK.
Wybo, J.-L. (2004a). Le rôle de l’apprentissage dans la maîtrise des risques. Risques — Les Cahiers de l’Assurance, pages
148–157.
Wybo, J.-L. (2004b). Le rôle du retour d’expérience dans la maîtrise des risques et des crises. Qualitique, 158:27–30.
Wybo, J.-L. (2004c). Mastering risks of damage and risks of crisis : the role of organizational learning. International
Journal of Emergency Management, 2:22–34.
Wybo, J.-L., Godfrin, V., Colardelle, C., Guinet, V., et Remis, D. (2003). Méthodologie de retour d’expérience des actions
de gestion des risques. Étude, Convention MATE.
Yang, J. (2005). Knowledge integration and innovation : securing new product advantage in high technology industry.
Journal of High Technology Management Research, 16(1):121–135. doi : 10.1016/j.hitech.2005.06.007.
Zakay, D., Ellis, S., et Shevalsky, M. (2004). Outcome value and early warning indications as determinants of willingness
to learn from experience. Experimental Psychology, 51(2):150–157. doi : 10.1027/1618-3169.51.2.150.

Vous pouvez extraire ces entrées bibliographiques au format BIBTEX en cliquant sur l’icone de trombone à
gauche.

134
Reproduction de ce document
Ce document est diffusé selon les termes de la licence BY-NC-ND du Creative Commons.
Vous êtes libres de reproduire, distribuer et communiquer cette création au public selon les
conditions suivantes :
 Paternité. Vous devez citer le nom de l’auteur original de la manière indiquée par
l’auteur de l’œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas
d’une manière qui suggérerait qu’ils vous soutiennent ou approuvent votre utilisation de
l’œuvre).
 Pas d’utilisation commerciale. Vous n’avez pas le droit d’utiliser cette création à des
fins commerciales.
 Pas de modification. Vous n’avez pas le droit de modifier, de transformer ou d’adapter
cette création.

Vous pouvez télécharger ce document, ainsi que d’autres dans la collection des Cahiers de la
Sécurité Industrielle, aux formats pdf, epub (pour liseuses électroniques et tablettes numé-
riques) et mobi (pour liseuses Kindle), depuis le site web de la FonCSI. Des exemplaires papier
peuvent être commandés auprès d’un service d’impression à la demande.

Fondation pour une Culture de Sécurité Industrielle


Fondation de recherche reconnue d’utilité publique
http ://www.FonCSI.org/

6 allée Émile Monso — BP 34038 Téléphone: +33 534 32 32 00


31029 Toulouse cedex 4 Twitter: @LaFonCSI
France Courriel: contact@FonCSI.org
ISSN 2100-3874

6 allée Émile Monso


ZAC du Palays - BP 34038
31029 Toulouse cedex 4

www.foncsi.org

Polices Couleurs
Frutiger Black et Frutiger Light vert foncé : C100 M45 J100 N30
vert clair : C100 M0 J100 N20